所有域管理員密碼都不適用於孤立的 DC
我有一個遠端 DC,它至少 90 天無法完全複製 AD,因此已被刪除,其站點到站點連結被切斷,並已從組織的主要 AD 基礎設施中清除。這很好,我們不希望解決這個問題或將他們現在的本地廣告帶回折疊;該辦公室將作為獨立的 AD 辦公室向前發展。當他們與 AD 的其餘部分的連結失敗時,我們正在準備 AD 遷移,但尚未進行任何更改。
目前,我們在該 DC 上沒有任何域管理員憑據。我有 5 個不同的域管理員發誓他們知道他們的密碼,並且知道他們的密碼是什麼,最後一次成功複製 AD。我們都無法登錄,也無法使用主企業管理員帳戶,這是一個從一切正常到現在絕對沒有更改的密碼。
我們所有的域管理員都不記得他們的密碼是不可能的。密碼沒有過期,並不是我們被迫更改密碼,當地的 DC 只是認為他們錯了。本地管理員說,在我們為 AD 遷移做準備時,他沒有對他們的 DC 做任何事情,而且他的帳戶只對他們的使用者和他們的 OU 擁有管理權限,所以他不應該能夠更改我們的任何內容密碼或類似的東西。
那麼這怎麼可能發生呢?如果您將其啟動到 DC 上的 DSRM,是否會對所有域管理員帳戶產生影響?AKA,我們當地的人是否試圖親自動手並破壞某些東西?伺服器是否有可能以某種方式受到損害而導致這種情況?
現場唯一的其他伺服器是加入域的文件伺服器,本地管理員憑據仍然可以訪問,因此這不是一個大問題。
現有的 DC 和現有的文件伺服器一樣是 Server 2008 R2,並且辦公室中的所有電腦都在完全更新的 Windows 7 機器上。
更多相關細節:我們的森林中有一個全域域,在多個辦公室有遠端域控制器,每個辦公室都是一個 AD 站點。其中一個辦公室與我們的全球基礎設施分離。在我們能夠正確地將他們遷移出我們的域之前,他們的 ISP 崩潰了,他們的網際網路連接失去了。由於該站點沒有回到我們的控制之下,因此它已從域中刪除。為了幫助他們遷移到自己的域,我們將執行 ADMT,但由於無法使用管理員權限對他們的本地 DC 進行身份驗證,因此我們無法執行 ADMT。
使用者配置文件是工作站本地的,主驅動器儲存在我們具有管理員訪問權限的文件伺服器上,因此可以選擇手動移動數據。
我對如何進行有幾個想法/問題:
- 我可以恢復他們的站點和 DC 並完成整個取消墓碑過程,但這是一項大量工作,只是為了讓他們達到我們可以再次從 AD 中刪除它們的地步。
- 我們可以廢棄他們的整個本地 AD 並讓他們部署一個新的,並將所有電腦遷移到新環境,但這也是一項大量工作。
- 如果我們決定使用選項 2,我們最大的擔憂就是將使用者配置文件從目前 AD 遷移到新的 AD。鑑於不存在對目前域的管理訪問權限,是否有工具可以幫助解決此問題?或者這基本上只是,創建新的 AD,加入 PC,初始化新的使用者配置文件並將數據從舊配置文件複製到新配置文件並重新配置帳戶?
- 有沒有更好的方法可以做到這一點,我沒有想到?我所知道的所有協助此類事情的工具都需要對源 AD 的管理訪問權限。
這超出了您自己能夠解決的範圍。
在我看來,您有兩個選擇:
- 向 Microsoft 開具支持票證。如果您沒有現有的支持協議,則必須付費。
- 您的選擇 2:廢棄他們的整個本地廣告。
選項 2 在停機時間、生產力損失和 IT 時間方面的成本可能使選項 1 的成本相形見絀。