几个月前,我们遇到了一个问题,一名员工(天知道是什么原因)决定将会议室中的一台 Mac mini 重命名为与我们的一台域控制器相同的名称。结果,该域控制器被降级为成员服务器,惹恼了很多人。
我们目前正在运行 Windows Server 2008 R2,但我目前正在迁移到 2012 R2。
有人能提供一些建议,如何锁定它,以便任何使用 Mac 或 Linux 机器的人都无法将其机器重命名为现有的 Windows 域机器吗?我不想再经历这种情况了 :)
谢谢
答案1
解决方案是锁定谁有权限重命名已加入域的计算机(修改对 Active Directory 计算机对象的权限),并确保拥有这些权限的人小心谨慎/知道自己在做什么。默认情况下,需要域管理员权限才能将计算机加入域或重命名已加入域的计算机。
命名约定中,人们不太可能将机器重命名为与域控制器或其他服务器相同的名称,这可能也是有序的,但这是另一个问题。
至于发生的事情:
域控制器没有降级。域控制器在 Active Directory 中的计算机对象基本上被覆盖/替换为 Mac mini 的对象,因为它具有相同的名称。基本上,如果您将 AD 视为文件系统,将计算机对象视为文件……如果您将文件移动到具有同名现有文件的文件夹中,会发生什么?一个文件会覆盖另一个。这里的基本情况相同。
我以前从未见过这种情况发生在域控制器上,但在其他环境中的成员计算机上见过很多次。在成员计算机上,当发生这种情况时,尝试使用域凭据登录会出现臭名昭著的安全信任关系中断错误 - 因为 Active Directory 中的计算机对象与计算机不匹配。对于成员计算机,解决此问题的最快方法是使用本地凭据登录,断开计算机,重命名并重新加入。
使用域控制器...不确定这是否可行,因为没有本地凭据。您可能必须进入 DSRM(目录服务还原模式)并执行权威还原,或者,如果这不是一个好选择,只需将此域控制器视为任何其他发生故障、无法访问的域控制器并重新映像它,然后按照步骤从 Active Directory 中清理它。