我们与一家公司合并,我接管那里的 IT 职责。
他们有一个 2000 域名,现已升级到 2003 域名。
问题是有人应用 W2k 安全策略模板来“强化” DC,但升级后它似乎根本无法正常工作。
这意味着默认域控制器策略已被破坏,并且有大量的安全设置正在扰乱升级的域控制器。
我将建立 2 个新的域控制器并在它们之间复制 AD/DNS/DHCP,然后降级现有的 DC。
我的问题:
- 我认为,为了实现我想要的功能,我需要删除并重新创建真正的默认默认域控制器策略。然后将新的 DC 添加到域并复制 AD/DNS,然后降级旧域控制器并将其删除。
这听起来合乎逻辑吗?还有人遇到过这样的麻烦吗?
答案1
这正是我强烈建议不要对“默认域策略”和“默认域控制器策略” GPO 进行任何修改的原因。不过,这听起来并不是太糟糕。
您不想(而且我相信,使用普通 GUI 工具也不行)删除“默认域控制器策略”GPO。相反,您需要“手动”清理它。
(是的,有一个实用程序 DCGPOFIX.EXE,可以恢复此 GPO。Microsoft 不建议使用 DCGPOFIX.EXE 实用程序,除非在灾难恢复情况下。不过,使用该工具的文档以了解默认设置应该是什么样的。
使用组策略编辑器取消对“默认域控制器策略”GPO 所做的愚蠢更改应该是一个非常简单的操作。完成此操作后,升级新的域控制器、转移 FSMO 角色等,并停用旧机器。
答案2
为什么不先尝试将更宽松的 SECPOL 模板应用到现有的 DC?
在做任何事情之前都要做好备份,并且在非工作时间进行。