главная    •     Новости      •     софт      •     RSS-ленты     •     реклама      •     PDA-Версия      •    Контакты
Windows XP    •      Windows 7     •    Windows 8    •    Windows 9-10-11     •    Windows Server     •    Железо
Советы      •     Администрирование      •     Сеть      •     Безопасность      •     Статьи      •     Материалы
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Microsoft Edge - еще более безопасный!
  • ActiveCloud - надежный провайдер облачных услуг для вашей компании
  • ANYSERVER - ваш поставщик б/у серверов из Европы
  • Настройка контекстной рекламы в Yandex и Google: Эффективный путь к росту вашего бизнеса
  • Коммутаторы с функцией PoE: Обеспечение эффективной передачи данных и питания
  • Очередное обновление сломало выключатель компьютеров на Windows 11
  • Active Directory — прекрасная система, но функции самоочистки в ней, к сожалению, нет. Я как-то раз обнаружил в своей конфигурации устаревший контроллер домена (на уровне Windows Server 2008 R2), который уже давным-давно не работал. Однако запросто взять и удалить его из консоли «Active Directory — сайты и службы» (Active Directory Sites And Services) я не рискнул, потому что учетные записи контроллеров домена обрабатываются в AD особым образом.

    В моем случае контроллер домена только для чтения RODC был списан, но не удален из домена RWVDEV.INTRA (рис. A).

    Удаление контроллера домена только для чтения из домена
    Рисунок A. Нажмите на изображении для увеличения.


    Active Directory присваивает контроллеру домена ряд особых характеристик. Тот контроллер, о котором идет речь, был контроллером домена только для чтения. На рис. B показано, какие опции можно использовать при удалении таких учетных записей.

    Удаление контроллера домена только для чтения из домена
    Рисунок B


    Первая и вторая опции автоматически сбрасывают пароли к учетным записям компьютера и пользователей, кэшированным на контроллере домена только для чтения. С точки зрения информационной безопасности это весьма полезная функция, но при ее использовании может возникнуть большая путаница на рабочем месте. С другой стороны, если контроллер домена был украден или вышел поля зрения IT-специалистов по какой-либо другой причине, эти две опции могут весьма пригодиться.

    Третья опция позволяет экспортировать список учетных записей, кэшированных на контроллере домена. Это дает возможность в деталях изучить состояние системы на момент удаления ее учетной записи. На рис. C показано последнее предупреждение перед удалением.

    Удаление контроллера домена только для чтения из домена
    Рисунок C


    В стандартной конфигурации контроллер домена только для чтения служит также и сервером глобального каталога, поэтому перед удалением нужно проследить, чтобы в сети был как минимум еще один контроллер домена с такой ролью (строго говоря, это обязательное условие любой безопасной конфигурации). После удаления учетной записи компьютера из консоли «Active Directory — пользователи и компьютеры» (Active Directory Users And Computers) следует удалить контроллер домена из оснастки «Active Directory — сайты и службы». После этого он появится в списке уже безо всяких ролей (рис. D).

    Удаление контроллера домена только для чтения из домена
    Рисунок D. Нажмите на изображении для увеличения.


    Теперь достаточно нажать на нем правой кнопкой мыши и выбрать опцию «Удалить» (Delete). После этого процедура удаления устаревшего контроллера домена из Active Directory будет завершена.

    А вам приходилось отказываться от контроллеров домена только для чтения после использования? Поделитесь своим опытом в комментариях!

    Автор: Rick Vanover
    Перевод SVET


    Оцените статью: Голосов

    Материалы по теме:
  • Запуск домена контроллера только для чтения Windows Server 2008
  • Запрет аутентификации на контроллерах домена только для чтения при отсутствии доступа к записываемым контроллерам домена
  • Повышение безопасности и производительности с помощью контроллеров домена только для чтения
  • Перезапуск Active Directory в качестве службы в Windows Server 2008
  • Репликация паролей для контроллеров доменов только для чтения в Windows Server 2008



  • Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет один минус один?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    МАТЕРИАЛЫ    ОТ ПАРТНЁРОВ

    Copyright © 2006-2022 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+