Nomes de computadores Mac em conflito com nomes de computadores Windows

Question

Nomes de computadores Mac em conflito com nomes de computadores Windows

#1 resposta do (5 votos)

1

Há alguns meses, tivemos um problema em que um funcionário (por deus sabe qual motivo) decidiu renomear uma das salas de conferência Mac minis com o mesmo nome de um de nossos controladores de domínio. O resultado foi que o controlador de domínio foi rebaixado para um servidor membro e irritou um monte de pessoas.

Estamos executando o Windows Server 2008 R2 no momento, mas atualmente estamos migrando para o 2012 R2.

Alguém pode oferecer conselhos sobre como bloquear isso para que ninguém com uma máquina Mac ou Linux possa renomear suas máquinas para máquinas de domínio Windows existentes? Eu não quero ter que passar por isso novamente:)

Obrigado

windows-server-2008-r2 mac-osx

por Steven Gedzyk 07.01.2015 / 23:55

1 resposta

Tags windows-server-2008-r2 mac-osx

Elasticsearch como substituição de memcache Modificando a configuração do OpenLDAP usando cn = config

score 5 · Accepted Answer

A solução é bloquear quem tem as permissões para renomear uma máquina associada a um domínio (modificar permissões para objetos de computador do Active Directory) e certificar-se de que aqueles que têm esses direitos sejam cuidadosos / saibam o que estão fazendo. Por padrão, os direitos de administrador do domínio são necessários para unir um computador ao domínio ou renomear um computador associado ao domínio.

Uma convenção de nomenclatura em que as pessoas provavelmente não renomearão as máquinas com o mesmo nome de um controlador de domínio ou outro servidor também pode estar em ordem, mas essa é uma pergunta diferente.

Quanto ao que aconteceu:

O controlador de domínio não se rebaixou. O objeto de computador no Active Directory para o controlador de domínio foi basicamente sobrescrito / substituído por aquele para o Mac mini, porque ele tem o mesmo nome. Basicamente, se você pensar em AD como um sistema de arquivos e objetos de computador como arquivos ... o que acontece se você mover um arquivo para uma pasta que tenha um arquivo existente com o mesmo nome? O único arquivo substitui o outro. Mesma coisa básica aqui.

Eu nunca vi isso acontecer com um controlador de domínio antes, mas já vi isso com computadores membros em outros ambientes. Nos computadores membros, quando isso acontece, tentar fazer logon com credenciais de domínio gera o infame erro de relação de confiança de segurança quebrada - porque o objeto de computador no Active Directory não corresponde ao computador. A solução mais rápida para isso com computadores membros é fazer login com credenciais locais, separar o computador, renomeá-lo e voltar a integrá-lo.

Com um controlador de domínio ... não tenho certeza se isso funcionaria, porque não há credenciais locais. Talvez seja necessário inserir o DSRM (Modo de restauração dos serviços de diretório) e fazer uma restauração autoritativa ou, se essa não for uma boa opção, simplesmente tratar esse controlador de domínio como qualquer outro controlador de domínio que não possa ser alcançado e recriá-lo. as etapas para limpá-lo do Active Directory.