Удаление контроллера домена только для чтения из домена
Active Directory — прекрасная система, но функции самоочистки в ней, к сожалению, нет. Я как-то раз обнаружил в своей конфигурации устаревший контроллер домена (на уровне Windows Server 2008 R2), который уже давным-давно не работал. Однако запросто взять и удалить его из консоли «Active Directory — сайты и службы» (Active Directory Sites And Services) я не рискнул, потому что учетные записи контроллеров домена обрабатываются в AD особым образом.
Active Directory присваивает контроллеру домена ряд особых характеристик. Тот контроллер, о котором идет речь, был контроллером домена только для чтения. На рис. B показано, какие опции можно использовать при удалении таких учетных записей.
Рисунок B
Первая и вторая опции автоматически сбрасывают пароли к учетным записям компьютера и пользователей, кэшированным на контроллере домена только для чтения. С точки зрения информационной безопасности это весьма полезная функция, но при ее использовании может возникнуть большая путаница на рабочем месте. С другой стороны, если контроллер домена был украден или вышел поля зрения IT-специалистов по какой-либо другой причине, эти две опции могут весьма пригодиться.
Третья опция позволяет экспортировать список учетных записей, кэшированных на контроллере домена. Это дает возможность в деталях изучить состояние системы на момент удаления ее учетной записи. На рис. C показано последнее предупреждение перед удалением.
Рисунок C
В стандартной конфигурации контроллер домена только для чтения служит также и сервером глобального каталога, поэтому перед удалением нужно проследить, чтобы в сети был как минимум еще один контроллер домена с такой ролью (строго говоря, это обязательное условие любой безопасной конфигурации). После удаления учетной записи компьютера из консоли «Active Directory — пользователи и компьютеры» (Active Directory Users And Computers) следует удалить контроллер домена из оснастки «Active Directory — сайты и службы». После этого он появится в списке уже безо всяких ролей (рис. D).
Рисунок D. Нажмите на изображении для увеличения.
Теперь достаточно нажать на нем правой кнопкой мыши и выбрать опцию «Удалить» (Delete). После этого процедура удаления устаревшего контроллера домена из Active Directory будет завершена.
А вам приходилось отказываться от контроллеров домена только для чтения после использования? Поделитесь своим опытом в комментариях!
