我们在远程办公室设置了一台服务器,并且正在远离 AD。为了便于迁移,我将旧的 Win2k3 AD DC 替换为在 ESXi 主机上运行的新 Win2k8r2 AD DC。采取此步骤是为了避免必须对 AD DC 进行 P2V。
构建 2008r2 框、将其添加到域以及转移 FSMO 角色的过程已经完成。现在,我只是让这两个框同步所有内容,然后再继续。
旧的 win2k3 DC 包含一个自定义应用程序,该应用程序由数据库和 GUI 前端组成,用户可以通过 RDP 进入服务器使用。此应用程序有一组相当复杂的目录权限,分散在整个机器上以使其正常工作,这些权限基于 AD。
一旦我从该服务器中删除 AD,目录权限会怎样?用户帐户会怎样?等等?
在有人询问之前,我们打算从整个网络中彻底删除 AD。新 DC 仅用于 P2V 旧机器并继续为客户端运行自定义数据库/GUI。
答案1
一旦删除整个 AD 林,这些帐户将不复存在,并且引用仍应用于文件和文件夹的域帐户的任何 ACL 条目现在将无法解析,并显示为“未知”和/或看起来像 SID(S-1-5-21-blahblahblah),而不是实际帐户名称。这些 ACL 条目仍将存在,但实际上毫无意义,因为具有这些 SID 的帐户不再存在。
如果您从一个域控制器中删除 AD,但另一个域控制器仍然存在,那也没问题,因为降级的 DC 将简单地开始使用现有的 DC,并且 DsCrackNames 和文件访问仍将照常工作。