O que será quebrado se eu mover minhas contas de máquina do Controlador de Domínio da UO padrão para outra UO, supondo que a política esteja vinculada?

2

Antecedentes : Eu tenho ajudado com um recente G.P. simplificação (read revisão ) no trabalho. Estou trabalhando em uma lista de coisas que meu supervisor solicitou que sejam feitas com a Diretiva de Grupo para endurecer nossa segurança. Devido a mudanças em nosso G.P. estrutura, mover os controladores de domínio para outra UO (especificamente duas camadas mais profundas nessa outra UO) é preferida. O ambiente consiste em Windows 7, Server 2008 R2 e Server 2012, incluindo uma mistura de máquinas físicas e virtuais. Dos DCs em questão, um é físico, enquanto o outro é virtual. Ambos estão usando o Server 2008 R2.

.

PormeiodemeusvalentesesforçosnoGoogle-fu,sóencontreiumúnicoavisodenão-postagemdaMicrosoftcontraele(vejaolinkdeJohnSavill).

Pergunta:Comootítulodiz,oqueseráquebradoseeumoverminhascontasdemáquinadoControladordeDomíniodaUOpadrãoparaoutraUO,supondoqueapolíticaestejavinculada?/p>

Nãoestouperguntandosobrepráticasrecomendadas.Euestouperguntandooquevaiquebrarquando/seamudançaemquestãoforfeita.

Links: John Savill Windows IT Pro P & A Post em 8 de julho de 2009 (Eu sinceramente duvido que o suporte da Microsoft soluçaria de tal mudança, nós não usamos Exchange, a coisa de atualizações do sistema operacional é falsa, etc.)

Visão geral da política de grupo (o Cuidado abaixo dos objetos da Diretiva de Grupo que existem por padrão referenciam a vinculação da diretiva corretamente, o que foi feito.

Protegendo grupos administrativos e contas do Active Directory ( importante Abaixo Mover as Contas da Estação de Trabalho Administrativa para a UO das Estações de Trabalho Admin novamente faz referência à vinculação da política corretamente, o que, novamente, foi feito.

    
por Zach L 24.09.2014 / 04:09

1 resposta

0

Mover objetos de controlador de domínio pode não causar problemas no começo, mas você provavelmente irá se arrepender. Parece que você tem um identificador nos links da Diretiva de Grupo e não mencionou nenhuma delegação personalizada ou ACLs da UO. Existe, no entanto, um grande problema: nomes distintos. Na partição de configuração do Active Directory, pode haver referências a controladores de domínio, especialmente se você usar coisas como o Exchange ou o SQL Server. Essas referências são por nome distinto, ou seja, o caminho completo para o objeto. Essas referências serão claramente quebradas se você mover os objetos.

Deixe-me dizer mais sobre esse bit do SQL Server. Se os produtos da Microsoft tiverem problemas com uma determinada configuração, você não deve usar essa configuração porque eles não pretendem. A OU dos Controladores de Domínio sempre tem um determinado GUID documentado, portanto, segue-se logicamente que, em busca de controladores de domínio, há uma coisa razoável para todos os produtos fazerem. Também ouvi, mas não confirmou, histórias de adprep (parte do processo de atualização do ADDS) tendo problemas com objetos de controlador de domínio movidos.

Certamente não é muito desagradável manter a UO dos Controladores de Domínio na raiz e vincular os GPOs necessários também.

    
por 11.01.2016 / 00:11