Что может сломаться, если я перенесу учетные записи компьютера контроллера домена из подразделения по умолчанию в другое подразделение, если политика связана?

Question

Справочная информация: я помогал с недавним упрощением GP (читай капитальный ремонт) на работе. Я работаю со списком вещей, которые мой супервайзер попросил сделать с помощью групповой политики для усиления нашей безопасности. Из-за изменений в нашей структуре GP, перемещение контроллеров домена в другое подразделение (в частности, на два уровня глубже в этом другом подразделении) является предпочтительным. Среда состоит из Windows 7, Server 2008 R2 и Server 2012, включая смесь физических и виртуальных машин. Из рассматриваемых DC один физический, а другой виртуальный. Оба используют Server 2008 R2.

,

Благодаря моим доблестным усилиям в Google-фу, я нашел только одно предупреждение от Microsoft, предупреждающее об этом (см. Ссылку Джона Сэвилла).

Вопрос: Как гласит заголовок, что сломается, если я переместу учетные записи компьютера моего контроллера домена из подразделения по умолчанию в другое подразделение, если политика связана?

Я не спрашиваю о передовой практике. Я спрашиваю, что сломается, когда / если изменение будет сделано.

Ссылки: Джон Савилл Сообщение для Q & A для Windows IT Pro от 8 июля 2009 г. (я искренне сомневаюсь, что поддержка Microsoft может помешать такому изменению, мы не используем Exchange, обновления ОС являются фиктивными и т.д.)

Обзор групповой политики (Предупреждение под объектами групповой политики, которые существуют по умолчанию, ссылается на правильную связь политики, что было сделано.)

Защита административных групп и учетных записей Active Directory (в разделе « Важное назначение под перемещением учетных записей административных рабочих станций в подразделение« Административные рабочие станции »» снова приведены ссылки на правильное связывание политики, что опять-таки сделано).

Answer 1

Перемещение объектов контроллера домена может сначала не вызвать проблем, но вы, вероятно, пожалеете об этом. Похоже, у вас есть дескриптор ссылок групповой политики, и вы не упомянули ни о каком настраиваемом делегировании или списках управления доступом. Однако есть одна главная проблема: отличительные имена. В разделе конфигурации Active Directory могут быть ссылки на контроллеры домена, особенно если вы используете такие вещи, как Exchange или SQL Server. Эти ссылки имеют отличительное имя, то есть полный путь к объекту. Эти ссылки явно сломаются, если вы переместите объекты.

Позвольте мне подробнее рассказать об этом SQL Server. Если у продуктов Microsoft есть проблемы с определенной конфигурацией, вам не следует использовать эту конфигурацию, потому что они не предназначены для вас. Подразделение контроллеров домена всегда имеет определенный документированный идентификатор GUID, поэтому логически следует, что поиск контроллеров домена вполне приемлем для всех продуктов. Я также слышал - но не подтвердил - истории о проблемах с adprep (частью процесса обновления ADDS) с перемещенными объектами контроллера домена.

Конечно, не так уж и сложно держать OU Domain Controllers в корне и связывать там все необходимые объекты GPO.