Adicionei um domínio filho ( ab.xyz.com ) a uma floresta existente (xyz.com) no Active Directory Domain Services. Ambos os controladores de domínio estão executando o Windows Server 2012 R2.
Desejo diminuir o domínio filho e o nível funcional da floresta para que eu possa ingressar em outro controlador de domínio no domínio filho que está executando o Windows Server 2008 R2. Eu segui estas etapas para diminuir o domínio filho e o nível funcional da floresta. No entanto, isso não funciona.
eu entrei
Set-ADForestMode -Identity “ab.xyz.com” -ForestMode Windows2008Forest
Set-ADDomainMode -Identity “ab.xyz.com” -DomainMode Windows2008Domain
Mas eu tenho um erro
Direito de acesso insuficiente para executar esta operação
Quando estou fazendo login como a conta de administrador do domínio filho.
Alguém pode me dar uma ideia de como diminuir o nível funcional de domínio e floresta do meu domínio filho?
Você precisa de direitos de administrador corporativo para alterar o nível funcional da floresta.
Os direitos de administrador do domínio devem ser suficientes para alterar o nível funcional de um único domínio, mas parece que não é o caso ao reduzi-lo, embora não tenha conseguido encontrar nenhuma documentação para isso.
De qualquer forma, como você precisa alterar tanto a floresta quanto o nível de domínio, basta executar essas operações usando uma conta de administrador corporativo e elas funcionarão.
Além disso, cuidado com o Controle de Conta de Usuário; certifique-se de executar seus comandos a partir de um prompt elevado do PowerShell.
Você definitivamente precisa de direitos de administrador corporativo para diminuir o nível funcional da floresta e DA para alterar um único domínio. Observe que apenas aumentar o DFL e o FFL é compatível, até onde eu sei:
https://technet.microsoft.com/en-us/library/ee617230.aspx
Na minha experiência, você obterá "Set-ADForestMode: uma referência foi retornada do servidor" ao direcionar qualquer controlador de domínio que não seja o mestre de esquema. Onde "Set-ADDomainMode" precisa ter como alvo o emulador PDC, então "Set-ADForestMode" precisa ter como alvo o Schema Master. Em um domínio 'filho', você não tem Schema Master, pois está no domínio raiz da floresta, portanto, seria necessário reduzir o FFL (como administrador corporativo) visando o SM na raiz da floresta e, em seguida, o DFL como administrador corporativo o PDC do domínio filho.