我正在研究解决方案他的问题,我想提出一个想法:
是否有可能:
- 在与旧域相同的林中创建新域
- 在两个域之间建立信任关系,以便新服务器可以处理旧域的工作或者将所有计算机和用户帐户迁移到新域
- 从林中删除旧域,但保留新域,并仍处理旧域的职责
- 将新域名的名称更改为与旧域名匹配,以便用户不知道任何更改。
我怀疑它不会起作用,但我认为值得一问。
答案1
不幸的是,没有办法从域中删除林根,这是假设您想要删除第一个也是唯一的域。
答案2
“旧域”中没有什么是无法修复的。此外,我要说的是,只要“旧域”仍在生产中并用于日常业务,就没有什么是无法修复的。我甚至会更大胆地说,只要您有一位具有相当好的 Active Directory 知识的人帮助您完成清理工作,那么清理“旧域”时几乎没有什么不能做的,这需要用户“注意到”正在做的事情。
更改整个域将非常困难,而且绝对不是好玩的TM,包括工作站信任关系、域帐户 SID 在用户配置文件中命名以及重新创建所有组策略对象和文件系统权限。不要这样做。您可以修复已有的问题,即使您必须与某人签约以帮助您,您可能也不会花费更改域所需的费用(假设这是一个任何规模的网络)。
编辑:
哦,您就是那个在域中缺少 RID 500 BUILTIN\Administrator 帐户的人。我第一次写这篇文章时没有注意到这一点。就像我在回答您的问题时所说的那样,打电话给 Microsoft PSS。他们可能可以帮助您摆脱困境。事实上,我不认为其他人能帮助您。据我所知,重新创建该帐户需要非常低级别的 AD 数据库访问权限。
答案3
您可以完全信任两个域,并使用 ADMT 工具移动用户帐户和计算机帐户,终止旧域,然后使用域重命名工具重命名新域名以匹配旧域名的名称。
但请记住,这是一项相当复杂的任务,需要进行相应的规划。如果没有适当的测试和与最终用户的沟通,这绝对不是你一下午就能完成的事情。
查看 Microsoft 网站上的 ADMT 和域重命名,以获得有关该流程的概述。
答案4
这里有两个关于此过程的链接。”Active Directory 域重命名 - 一点也不难“ 和 ”域名重命名的工作原理“。
你必须对它进行彻底的测试。而且最终结果将与起始条件相似。我建议你考虑一下为什么要考虑这个过程。
顺便说一句,第二步是不需要的。因为同一个林中的域已经有了信任关系。