windows server 2012 AD 活动目录部署系列（九）域控制器的常规卸载
我的图书馆
windows server 2012 AD 活动目录部署系列（九）域控制器的常规卸载
本篇博文我们要解决一个问题，如果一个域控制器我们不需要了，那应该如何处理呢？如果我们让这台域控制器直接消失，那么其他的域控制器就无法得知这个消息，每隔一段时间其他的域控制器还会试图和这个域控制器进行 AD 复制，客户机也有可能会把用户名和口令送到这个不存在的域控制器上进行验证。因此，我们进行域控制器卸载时，优先使用常规卸载，做到DNS中的SRV记录自动更新，以及其他域控制器中的消息同步。
在windows server 2012中，卸载域控制器其实就是“降级”，具体操作如下：
打开“服务器管理器”，点击右上角的“管理”菜单，选择“删除角色和功能”，
勾选“Active Directory 域服务”，（注：这里不是要真的删除该角色，只是要调用降级功能而已，因为在域控制器还没降级的前提下，是无法删除AD服务角色的），点击“删除功能”按钮，
此时会提示验证不通过“在删除AD DS角色之前，需要将AD域控制器降级”，点击“将此域控制器降级”，
进入卸载界面，不勾选“强制删除”，点击下一步，
如果该域控制器是最后一个域控制器，则显示以下卸载界面，勾选“域中的最后一个域控制器”，
勾选“继续删除”，
输入降级后的本地管理员密码，
删除完成后，提示重启计算机：
至此已经完成了域控制器的常规卸载！
我们可以看一下 DNS 服务器中的 SRV 记录自动更新了，并且在Active Directory 用户和计算机下的域控制器的数量也发生了变化。
转载请注明出处：
TA的最新馆藏[转]&
喜欢该文的人也喜欢    2.修改工作组或域    工作组（Work Group）就是将不同的电脑按功能分别列入不同的组中，以方便管理。域则是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工作站的集合。在日常工作中，为了方便管理，我们一般情况下会给服务器隶属于不同的域。部署如下：计算机名称更改域     这个步骤跟上一个更改“服务器名称”相类似，在相同的页面，只不过这次在“计算机名称”的下面，我们可以选择所在的“域”或“工作组”。
提示：支持键盘“← →”键翻页Windows&Server&2012&R2&域的备份与还原（实验二）
&继续上一次实验域的备份与还原，这次实验二的大环境是要把Server01上面AD的备份，还原到Server02中，由于本次实验中许多详细的操作已经在实验一中演示过了，所以过程会有些省略，但需要注意的地方，仍然会详细说明。
下面开始实验，首先需要在Server01上面安装AD域服务，创建域并且提升为域控，为了实验效果，我们在Server01上面创建一个组织单位“HR”并且在HR中创建一个用户“tom“，之后在安装
Windows Server Backup功能，进行系统备份。
&& 域环境已经搭建好了。
&& 成功备份。
接下来我们要把Server01上面的备份文件，复制到Server02中，需要注意的是，备份文件不能放在系统盘中，所以Server02也同样需要两块磁盘，备份文件需要复制到系统盘之外的一块磁盘中，在这里我们通过网络途径来复制备份文件。
&& 复制文件到Server02的E盘中。
复制完成后，我们需要修改Server02的计算机名，IP地址，这两项必须与Server01完全相同，复制成功后，为了不影响实验效果，在虚拟化的环境中，我们就关闭Server01，现实生产环境中可直接忽略。
改好计算机名和IP地址之后，我们需要安装AD域服务，提升为域控制器，安装Windows Server
Backup组件为了一会恢复数据，需要注意的是，这里在提升为域控制器的时候，新域的名称可不与原Server01的域名称完全相同，提升为域控的主要目的就是为了开启服务修复模式，为了演示方便，在这里就用相同的与名称了。
提升域控之后我们重启，按F8进入目录服务修复模式，登录的时候需要注意，在目录修复模式下，此服务器已经不是域环境了，所以我们要用其他的本机管理员账户登录。
&& 登录系统后，打开Windows Server
Backup工具，进行数据恢复。
恢复成功后，我们做最后的检查，查看HR组织单位和其中的tom用户有没有成功恢复。
&& 检查DNS记录是否正常。
&& 检查共享是否正常。
&& 一切正常后，备份还原成功。
（声明：实验中的仅为演示所用。）
本文出自 “”
博客，转载请与作者联系！
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。用户名：dufei
文章数：129
评论数：921
访问量：1566828
注册日期：
阅读量：1297
阅读量：3317
阅读量：447309
阅读量：1132519
51CTO推荐博文
&&& 遇到的小伙伴多了，就会发现小伙伴需求真是各种各样，就像客户端加入域一样，有的客户就要求，加入域之后，此员工的域账号自动加入本地管理员组；也有客户要求，加入域后，此员工的域账号只能是受限制的普通USER，不能有任何多余的权限，包含修改网络配置等。好吧，用户的需求都是有道理的。下面，咱们就来看一下，如何实现加入域之后，自动加入到本地管理员组。&&& 我们的Server01是一台域控制器，然后再找一台Win8.1做客户机，至于说如何升级域控制器，在此就不再描述了，网上的资料一大把。至于把域用户加入本地管理员组，使用的就是：用户配置首选项中“本地用户和组”。用于将登录帐号自动加入本地管理员组的场合。或者是使用计算机配置首选项中“本地用户和组”，用在将重要的域组加入客户端本地管理员组。我们看一下具体设置：使得用户配置首选项“本地用户和组”将登录账号自动加入本地管理员组&&& 登录到域控制器，打开基于域的策略-----用户配置---首选项---控制面板设置---本地用户和组，以下图所示：在右侧空白处，新建本地组，如下图所示：因为是要修改客户端计算机上的本地组信息，所以选择新建本地组。&&& 操作中的“更新”代表更新域客户端Administrators组中的成员，而不是新建组；“添加当前用户”表示添加登录时的域帐号到客户端系统的本地Administrators组，只要域帐号一登录，就把它加入本地管理员组，也可以同时选中右边的“删除所有成员用户”或者是删除所有成员组，意思是将当前登录的用户加入到本地管理员组的时候，删除其他成员用户或者是组，以起到动态加入管理员组的效果，也就是始终保持最近登录的用户是在管理员组中，其他用户删除，但是需要注意，。在此我们不选择，先看一下效果。&&& 我们到Win8.1上进行登录，查看当前用户有没有加入到管理员组，注意，因为我这里是客户的一个真实POC环境里，我就把一些敏感信息马赛克了。&&& 登录成功之后，我们去打开此客户机的本地用户和组，双击打开 administrators组，可以看到下面的界面，明白人不用细说：&&& 实验成功了！此时，此登录的用记及是管理员了，权限大大的，什么修改网络配置、安装软件、卸载软件、修改系统配置，统统都是张飞吃豆芽！如果想只保留当前用户，而删除其他用户，则如下图所示的操作：&&& 当然，不必像我图中做的这么惨忍，domain admins还是可以保留的。然后，客户端重新登录，再次打开adminstrators查看，如下图所示：&&& 但是注意，此场景只适合于Win7及以后的操作系统，像XP/2003等需要安装插件，以使用“首选项”功能生效，下载地址：估计大家是用不到了，毕竟都已经是两个退役的产品了。另外一点，就是如果是希望将某个组都加入到本地管理员组，则建议使用计算机配置下的“本地用户和组”功能。本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)
10:11:24 16:57:35 22:00:44 08:19:25 08:19:44 14:42:11 09:21:30 14:14:26 18:00:40 18:21:39 18:22:59 17:25:37 14:45:32安装域控制器，域（Domain）
1，本地管理员权限
2，设置静态IP 地址
3，至少有一个NTFS分区
4，操作系统版本（web版除外）
设置静态IP地址&
dcpromo.exe命令不生效，提示通过服务器管理器进行安装。如果用命令可以运行dcpromo /unattend进行无人参与安装。
我们通过图形化界面安装，打开服务器管理器、选择添加角色和功能。
选择&AD域服务&，添加AD域服务所需要的功能。&
开始安装。&
安装完成。&
点击黄色的小旗，选择&将此服务器提升为域控制器&&
开始&AD域服务配置向导&
选择&添加新林&，域名
指定DNS委派&
输入NetBIOS名&
指定AD DS数据库、日志文件和SYSVOL的存放位置。&
查看安装选项。&
先决条件检查。&
开始安装。&
安装完成后将自动重启。&
安装完成。
启动后登陆域。
阅读(...) 评论()}