Quais (se houver) são os riscos de renomear e ingressar no domínio de uma máquina ao mesmo tempo?

Navegue suas respostas
5

Apenas uma pergunta básica e rápida, devido à diferença de opinião que tenho.

Ao unir uma nova máquina [Windows] a um domínio do Active Directory, que riscos existem se a renomeação e a associação de domínio forem feitas ao mesmo tempo? (Ao contrário de renomear a máquina, reinicializar, ingressar no domínio e reinicializar).

Na hipótese de que isso é importante, trata-se de um domínio e floresta do Nível Funcional de 2003 e diz respeito a máquinas clientes que são principalmente XP e servidores que são principalmente o Server 2008 R2.

Pontos de bônus (recompensa!) se alguém souber de uma Prática recomendada da Microsoft documentada ou se recomenda ou não fazer isso em uma ou duas reinicializações.

    
por HopelessN00b 15.02.2013 / 18:41

2 respostas

7

Não encontro um artigo relacionado específico do Windows Vista ou mais recente, mas acho que isso seria considerado uma documentação canônica: Como alterar um nome de computador, ingressar em um domínio e adicionar uma descrição de computador no Windows XP ou no Windows Server 2003 . Esta documentação indica que você pode modificar o domínio e do computador ao mesmo tempo (e não o adverte).

Suspeito que você esteja lidando com alguém que tenha a mesma superstição que eu tive ao longo dos anos: alterar o nome do computador, reiniciar e ingressar no domínio.

Sei que vi casos em que isso terminou com uma relação de confiança de domínio interrompida no computador cliente. Nunca documentei o fluxo de trabalho específico necessário para criar esse cenário indesejável. Minha sequência pragmática deu início e só me fez renomear, reiniciar e depois entrar. Por diversão, eu posso tentar fazer alguma replicação em uma VM.

Editar:

Eu tive alguns minutos para diversão em testes de VM.

Eu faço dois testes muito simples em uma VM do Windows XP Professional SP3, começando de novo a partir de um modelo configurado em um grupo de trabalho.

  • Alterou o nome do computador e o domínio juntos, desde a credencial de domínio, a caixa de diálogo recebida indicando que a associação de domínio foi bem-sucedida, reinicializada e descobriu que eu tinha um bom relacionamento de confiança de domínio.

  • Domínio associado, desde credencial de domínio, caixa de diálogo recebida indicando que a associação de domínio foi bem-sucedida, clicou novamente no botão "Alterar" na caixa de diálogo "Propriedades do sistema", alterou o nome do computador, forneceu credencial de domínio, reinicializou e descobriu que eu tinha um bom relacionamento de confiança de domínio.

Obviamente, há permutações possíveis se você trouxer a replicação desonesta do DC, alterando a relação de confiança do domínio com uma ferramenta de linha de comando como netdom e, provavelmente, uma série de outros fatores que poderiam influenciar. Em geral, porém, parece que o Windows XP (e provavelmente todas as versões posteriores do Windows) pode manipular a alteração para o nome do computador e a relação de confiança do domínio sem uma reinicialização entre eles.

Eu provavelmente ainda vou reiniciar entre, pessoalmente.

    
por 15.02.2013 / 19:45
1

A melhor prática seria reinicializar após a renomeação e a junção do domínio.

Com o XP, você tem a capacidade de renomear e, em seguida, voltar para as opções para unir o PC ao domínio. O Windows 7, em vez disso (quase sempre), desativa a opção de domínio após a renomeação.

No que diz respeito ao risco, eu diria que você corre o risco de adicionar o PC com o nome antigo do PC, ou pior, um SID incorreto. Se você gosta de renomear e participar sem várias reinicializações em 7, sugiro testar com o comando netdom.exe.

Netdom - link

    
por 15.02.2013 / 19:41

Tags

Resolvendo mensagem samba testparm: rlimit_max: rlimit_max (8192) abaixo do limite mínimo do Windows (16384) Altere o endereço de escuta do VNC no Libvirt sem reiniciar a VM