Eu quero SUBSTITUIR os controladores de domínio existentes, mas manter o AD, etc

4

Nós nos fundimos com uma empresa e assumimos as funções de TI lá.

Eles tinham um domínio de 2000 que foi atualizado para 2003.

O problema é que alguém aplicou os modelos de política de segurança do W2k para "endurecer" os controladores de domínio e, depois da atualização, parece não funcionar corretamente.

Isso significa que a POLÍTICA DO CONTROLADOR DE DOMÍNIO PADRÃO está aumentada e tem muitas configurações de segurança que estão atrapalhando os controladores de domínio atualizados.

Vou criar dois novos controladores de domínio e replicar AD / DNS / DHCP entre eles e depois rebaixar os DCs existentes.

MEU PROBLEMA:

  • Acho que, para fazer o que eu quero, vou precisar explodir e recriar a verdadeira Política de controlador de domínio padrão. Em seguida, adicione os novos DCs ao domínio e replique o AD / DNS e, em seguida, rebaixe os controladores de domínio antigos e os remova.

Isso soa lógico? Alguém mais tem que lidar com essa bagunça?

    
por TheCleaner 03.02.2010 / 21:12

2 respostas

5

Esta é exatamente a razão pela qual eu não recomendo fazer quaisquer modificações nos GPOs "Diretiva de Domínio Padrão" e "Diretiva de Controladores de Domínio Padrão". Isso não parece uma bagunça, no entanto.

Você não deseja (e, acredito, não pode usar as ferramentas GUI padrão) excluir o GPO "Default Domain Controllers Polciy". Em vez disso, você precisa limpá-lo "à mão".

(Sim, existe um utilitário, DCGPOFIX.EXE, que restaurará esse GPO. A Microsoft não recomenda o uso do utilitário DCGPOFIX.EXE, exceto em cenários de recuperação de desastre. No entanto, não há problema em usar o documentação para a ferramenta para ter uma ideia de como os padrões devem se parecer.

Deve ser uma operação bastante direta para diminuir as alterações tolas feitas no GPO "Default Domain Controllers Policy" usando o Editor de Diretiva de Grupo. Depois disso, promova seus novos controladores de domínio, transfira funções FSMO, etc. e desative as máquinas antigas.

    
por 03.02.2010 / 21:53
0

Por que você não tenta aplicar um modelo SECPOL mais solto aos DCs existentes primeiro?

Faça um bom backup antes de fazer qualquer coisa, e faça isso fora do expediente.

    
por 03.02.2010 / 21:46