我有一个远程 DC 至少 90 天无法完全复制 AD,因此已被删除,其站点到站点链接被切断,并已从组织的主要 AD 基础设施中清除。这很好,我们不希望解决这个问题或将他们现在的本地广告带回折叠;该办公室将作为独立的 AD 办公室向前发展。当他们与 AD 其余部分的链接失败时,我们正在准备 AD 迁移,但尚未进行任何更改。
目前,我们在该 DC 上没有任何域管理员凭据。我有 5 位不同的域管理员发誓他们知道他们的密码,并且知道他们的密码是什么最后一次成功复制 AD。我们都无法登录,也无法使用主企业管理员帐户,这是一个从一切正常到现在绝对没有更改的密码。
我们所有的域管理员都不记得他们的密码是不可能的。密码没有过期,并不是我们被迫更改密码,当地的 DC 只是认为他们错了。本地管理员说,在我们为 AD 迁移做准备时,他没有对他们的 DC 做任何事情,而且他的帐户只对他们的用户和他们的 OU 拥有管理权限,所以他不应该能够更改我们的任何内容密码或类似的东西。
那么这怎么可能发生呢?如果您将其启动到 DC 上的 DSRM,是否会对所有域管理员帐户产生影响?AKA,我们当地的人是否试图亲自动手并破坏某些东西?服务器是否有可能以某种方式受到损害而导致这种情况?
现场唯一的其他服务器是加入域的文件服务器,本地管理员凭据仍然可以访问,因此这不是一个大问题。
现有的 DC 和现有的文件服务器一样是 Server 2008 R2,并且办公室中的所有计算机都在完全更新的 Windows 7 机器上。
更多相关细节:我们的森林中有一个全局域,在多个办公室有远程域控制器,每个办公室都是一个 AD 站点。其中一个办公室与我们的全球基础设施分离。在我们能够正确地将他们迁移出我们的域之前,他们的 ISP 崩溃了,他们的互联网连接丢失了。由于该站点没有回到我们的控制之下,因此它已从域中删除。为了帮助他们迁移到自己的域,我们将运行 ADMT,但由于无法使用管理员权限对他们的本地 DC 进行身份验证,因此我们无法运行 ADMT。
用户配置文件是工作站本地的,主驱动器存储在我们具有管理员访问权限的文件服务器上,因此可以选择手动移动数据。
我对如何进行有几个想法/问题:
- 我可以恢复他们的站点和 DC 并完成整个取消墓碑过程,但这是一项大量工作,只是为了让他们达到我们可以再次从 AD 中删除它们的地步。
- 我们可以废弃他们的整个本地 AD 并让他们部署一个新的,并将所有计算机迁移到新环境,但这也是一项大量工作。
- 如果我们决定使用选项 2,我们最大的担忧就是将用户配置文件从当前 AD 迁移到新的 AD。鉴于不存在对当前域的管理访问权限,是否有工具可以帮助解决此问题?或者这基本上只是,创建新的 AD,加入 PC,初始化新的用户配置文件并将数据从旧配置文件复制到新配置文件并重新配置帐户?
- 有没有更好的方法可以做到这一点,我没有想到?我所知道的所有协助此类事情的工具都需要对源 AD 的管理访问权限。
这超出了您自己能够解决的范围。
在我看来,您有两个选择:
选项 2 在停机时间、生产力损失和 IT 时间方面的成本可能使选项 1 的成本相形见绌。