我正在考虑使用双林配置,其中第二个域(林)将是具有单边信任的第一个域的强化版本。我想知道在创建第二个林时是否有办法避免大部分重复工作。
我可以自由地使用空白卡,因此不会出现服务、旧标准等方面的问题。但我想移动尽可能多的配置元素(强化 GPO、初始 GPO、用户列表)并将它们修改为第二个林中更严格的要求。
我目前知道的选项:
- 创建额外的 DC,将其从网络中切断。重命名森林并使用单边信任将其重新连接。考虑到我的全权委托情况(我可以在克隆后安装任何有问题的服务),这似乎是最好的选择。a) 除了清单之外,还有其他钩子吗?“域名重命名的工作原理”在 learn.microsoft 上?b) 是否有一份 WS2022 内置服务的清单,这些服务在执行此类操作后将无法运行?
- 创建新域。迁移用户和 GPO。在这个过程中我遗漏了什么?
- 克隆 DC - 不适用(不能克隆 DC,风险较高)
这样做的目的是为了省去重复工作,因为两个域中的 GPO 都类似,需要强化和初始配置。我想先创建一次,然后克隆它们,以避免任何遗漏。
- 有没有办法在迁移期间或现有 GPO 上批量编辑?理想的选择是将它们导出到 csv 或类似文件,批量编辑它们并导入到新域。基本 GPO 界面对于批量工作来说真的很笨拙,因为您必须单击每个 GPO,然后单击所有选项。