DC组策略相关

恢复DC组策略默认配置

DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]

dcgpofix /?

gpupdate刷新

gpedit.msc打开

如何在域控制器降级失败后删除 Active Directory 中的数据

警告：如果使用“ADSI 编辑”管理单元、LDP 实用工具或任何其他 LDAP 版本 3 客户端，并且不恰当地修改了 Active Directory 对象的属性，则可能造成严重问题。要解决这些问题，您可能需要重新安装 Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server 或 Microsoft Exchange Server 2003，或者 Windows 和 Exchange 二者都需要重新安装。Microsoft 不保证能够解决因为 Active Directory 对象属性修改不当而产生的问题。修改这些属性需要您自担风险。
Active Directory 安装向导 (Dcpromo.exe) 用于将服务器提升为域控制器，以及将域控制器降级为成员服务器（或者在该域控制器是域中的最后一个域控制器时，将其降级为工作组中的独立服务器）。作为降级过程的一部分，此向导将把该域控制器的配置数据从 Active Directory 中删除。此数据的形式是“NTDS 设置”对象，在“Active Directory 站点和服务”中作为服务器对象的一个子对象存在。
该信息位于 Active Directory 中的以下位置：
CN=NTDS Settings,CN=<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuration,DC=<domain>...
“NTDS 设置”对象的属性包括：代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的名称上下文、域控制器是否为全局编录服务器，以及默认查询策略。“NTDS 设置”对象也是一个容器，其中可以包含代表域控制器的直接复制伙伴的子对象。该数据是域控制器在环境中运行所必需的，但域控制器降级后就不再使用该数据了。
如果未正确删除“NTDS 设置”对象（例如，未从降级尝试中正确删除“NTDS 设置”对象），管理员可以使用 Ntdsutil.exe 实用工具手动删除“NTDS 设置”对象。以下步骤列出了在特定域控制器的 Active Directory 中删除“NTDS 设置”对象的过程。在每个 Ntdsutil 菜单上，管理员可以键入 help 以了解有关可用选项的更多信息。
警告：在手动删除任何服务器的“NTDS 设置”对象之前，管理员还必须确保在降级之后已进行了复制。Ntdsutil 实用工具使用不当可能会导致 Active Directory 功能部分或全部丧失。
返回页首
过程
1. 单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。
2. 在命令提示符下，键入 ntdsutil，然后按 Enter 键。
3. 键入 metadata cleanup，然后按 Enter 键。根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还必须指定另外一些配置参数。
4. 键入 connections，然后按 Enter 键。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限，可以在建立连接之前指定要使用的替代凭据。为此，请键入 set creds domain nameusernamepassword，然后按 Enter 键。如果密码为空，则键入 null 作为密码参数。
5. 键入 connect to server servername，然后按 Enter 键。然后出现一条确认消息，说明已成功建立该连接。如果出现错误，则确认连接中所用的域控制器是否可用，以及您提供的凭据是否有该服务器的管理权限。
注意：如果尝试连接的服务器正是要删除的服务器，那么在尝试删除第 15 步提到的服务器时，将显示以下错误信息：
Error 2094. The DSA Object cannot be deleted0x2094
6. 键入 quit，然后按 Enter 键。将出现清除元数据菜单。
7. 键入 select operation target，然后按 Enter 键。
8. 键入 list domains，然后按 Enter 键。将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。
9. 键入 select domain number，然后按 Enter 键；其中 number 是与要删除的域相关联的编号。您选择的域用于确定要删除的服务器是否为该域的最后一个域控制器。
10. 键入 list sites，然后按 Enter 键。将显示一个站点列表，每个站点都有一个关联的编号。
11. 键入 select site number，然后按 Enter 键；其中 number 是与要删除的域相关联的编号。将出现一条确认消息，其中列出了所选的站点和域。
12. 键入 list servers in site，然后按 Enter 键。将显示一个列出站点中所有服务器的列表，每个服务器都有一个关联的编号。
13. 键入 select server number，其中 number 是与要删除的服务器关联的编号。将出现一条确认消息，其中列出所选的服务器、该服务器的域名服务器 (DNS) 主机名，以及要删除的服务器的计算机帐户的位置。
14. 键入 quit，然后按 Enter 键。将出现清除元数据菜单。
15. 键入 remove selected server，然后按 Enter 键。将出现一条确认消息，说明删除成功。如果出现以下错误信息：
Error 8419 (0x20E3)
The DSA object could not be found
则说明“NTDS 设置”对象可能已从 Active Directory 中删除，原因是其他管理员删除了该“NTDS 设置”对象，或在运行 DCPROMO 实用工具成功删除对象后再执行一次此操作。
注意：尝试绑定到要删除的域控制器时，也可能会出现此错误。Ntdsutil 必须绑定到要用 metadata cleanup 删除的域控制器以外的其他域控制器。
16. 在每个菜单中键入 quit，退出 NTDSUTIL 实用工具。将出现一条确认消息，说明连接已成功断开。
17. 在 DNS 的 _msdcs.root domain of forest 区域中删除 cname 记录。假定要重新安装并重新提升 DC，因此使用新的 GUID 和 DNS 中匹配的 cname 记录来创建新的 NTDS 设置对象。您不会希望现有 DC 使用旧的 cname 记录。
最佳做法是删除主机名和其他 DNS 记录。如果已超出为脱机服务器分配的动态主机配置协议 (DHCP) 地址上所剩的租用时间，另一个客户端即可获得问题 DC 的 IP 地址。
既然“NTDS 设置”对象已删除，因此可以删除计算机帐户、FRS 成员对象、_msdcs 容器中的 cname（或别名）记录、DNS 中的 A（或主机）记录、已删除的子域的 trustDomain 对象以及域控制器。 1. 使用 ADSIEdit 删除计算机帐户。为此，请按照下列步骤操作： a.  启动 ADSIEdit。
b.  展开“域 NC”容器。
c.  展开“DC=Your Domain, DC=COM, PRI, LOCAL, NET”。
d.  展开“OU=Domain Controllers”。
e.  右键单击“CN=domain controller name”，然后单击“删除”。
如果在试图删除对象时出现“DSA object cannot be deleted”错误，请更改 UserAccountControl 值。若要更改 UserAccountControl 值，请在 ADSIEdit 中右键单击该域控制器，然后单击“属性”。在“请选择要查看的属性”下面，单击“UserAccountControl”。单击“清除”，将该值更改为 4096，然后单击“设置”。现在您可以删除该对象了。
注意：删除计算机对象时，也将删除 FRS 订户对象，因为它是计算机帐户的子对象。
2. 使用 ADSIEdit 删除 FRS 成员对象。为此，请按照下列步骤操作： a.  启动 ADSIEdit。
b.  展开“域 NC”容器。
c.  展开“DC=Your Domain, DC=COM, PRI, LOCAL, NET”。
d.  展开“CN=System”。
e.  展开“CN=File Replication Service”。
f.  展开“CN=Domain System Volume (SYSVOL share)”。
g.  右键单击要删除的域控制器，然后单击删除。
3. 在 DNS 控制台中，使用 DNS MMC 删除 DNS 中的 A 记录。A 记录也称为“主机”记录。若要删除 A 记录，请右键单击 A 记录，然后单击“删除”。还要删除“_msdcs”容器中的 cname（也称为“别名”）记录。为此，请展开“_msdcs”容器，右键单击 cname，然后单击“删除”。
重要说明：如果这是一台 DNS 服务器，请在名称服务器选项卡中删除对该 DC 的引用。为此，在 DNS 控制台中，在正向搜索区域下面单击该域名，然后从名称服务器选项卡中删除该服务器。
注意：如果有反向搜索区域，也要将服务器从这些区域中删除。
4. 如果删除的计算机是子域中的最后一个域控制器，而且该子域也已删除，则使用 ADSIEdit 删除该子域的 trustDomain 对象。为此，请按照下列步骤操作： a.  启动 ADSIEdit。
b.  展开“域 NC”容器。
c.  展开“DC=Your Domain, DC=COM, PRI, LOCAL, NET”。
d.  展开“CN=System”。
e.  右键单击“Trust Domain”对象，然后单击“删除”。
5. 使用“Active Directory 站点和服务”删除域控制器。为此，请按照下列步骤操作： a.  启动“Active Directory 站点和服务”。
b.  展开“站点”。
c.  展开服务器的站点。默认站点为“Default-First-Site-Name”。
d.  展开“服务器”。
e.  右键单击域控制器，然后单击删除。

如何强制降级 Windows Server 2003 或 Windows 2000 域控制器

使用 DCPROMO/FORCEREMOVAL 命令强制将 Active Directory 域控制器降级