O que será quebrado se eu mover minhas contas de máquina do Controlador de Domínio da unidade organizacional padrão para outra OU, supondo que a diretiva esteja vinculada?

2

fundo : Eu tenho ajudado com um recente G.P. simplificação (leia revisão ) no trabalho. Estou trabalhando em uma lista de coisas que meu supervisor solicitou que sejam feitas com a Diretiva de Grupo para endurecer nossa segurança. Devido a mudanças em nosso G.P. estrutura, mover os controladores de domínio para outra UO (especificamente duas camadas mais profundas nessa outra UO) é preferida. O ambiente consiste no Windows 7, Server 2008 R2 e Server 2012, incluindo uma mistura de máquinas físicas e virtuais. Dos DCs em questão, um é físico, enquanto o outro é virtual. Ambos estão usando o Server 2008 R2.

In this picture, the underlined OU is the default location and the proposed location is indicated by the arrow. .

Através dos meus valentes esforços no Google-fu, só encontrei um único aviso de não-Microsoft contra ele (veja o link de John Savill).

Questão : Como o título diz, o que será quebrado se eu mover minhas contas de máquina do Controlador de Domínio da UO padrão para outra UO, supondo que a política esteja vinculada?

Não estou perguntando sobre as Melhores Práticas. Eu estou perguntando o que vai quebrar quando / se a mudança em questão for feita.

Links : John Savill Windows IT Pro P & A Post em 8 de julho de 2009 (Sinceramente, duvido que o suporte da Microsoft soluçasse com essa mudança, não usamos o Exchange, a coisa de atualizações do sistema operacional é falsa, etc.)

Visão geral da diretiva de grupo (O Cuidado abaixo Objetos de Diretiva de Grupo que existem por padrão referências que ligam a política corretamente, o que foi feito.)

Protegendo grupos administrativos e contas do Active Directory (O Importante abaixo Mover contas da estação de trabalho administrativa para a unidade organizacional OU novamente referências de vinculação da política corretamente, o que, novamente, foi feito.

Zach L
fonte

Respostas:

0

Movendo objetos do controlador de domínio pode não causar problemas no início, mas você provavelmente irá se arrepender. Parece que você tem um identificador nos links da Diretiva de Grupo e não mencionou nenhuma delegação personalizada ou ACLs da UO. Há, no entanto, um grande problema: nomes distintos. Na partição de configuração do Active Directory, pode haver referências a controladores de domínio, especialmente se você usar coisas como o Exchange ou o SQL Server. Essas referências são por nome distinto, ou seja, o caminho completo para o objeto. Essas referências serão claramente quebradas se você mover os objetos.

Deixe-me dizer mais sobre esse bit do SQL Server. Se os produtos Microsoft tiverem problemas com uma determinada configuração, você não deve usar essa configuração porque eles não pretendem. A OU dos Controladores de Domínio sempre tem um determinado GUID documentado, de modo que segue logicamente que, em busca de controladores de domínio, há uma coisa razoável para todos os produtos fazerem. Eu também ouvi - mas não confirmou - histórias de adprep (parte do processo de atualização do ADDS) tendo problemas com objetos de controlador de domínio movidos.

Certamente não é muito desagradável manter a OU dos Controladores de Domínio na raiz e vincular os GPOs necessários também.

Ben N
fonte