Удаление роли DHCP, очистка данных AD
Назад история.
Итак, у нас был инженер-разработчик (у которого только что был доступ к учетной записи администратора домена), который настроил несколько DHCP-серверов в нашем домене. Это вызвало головную боль, поскольку новые DHCP-серверы были авторизованы в нашем домене и стали авторитетными.
Эти серверы являются временными и перемещаются на сторонний сайт. Мы убрали головные боли и разработали график несанкционированного доступа к ним до переезда. Моя работа заключается в том, чтобы не авторизовать серверы, когда придет время их перемещать, и очистить все остатки.
Один сервер уже удален (роль удалена и удалена из домена). Это означает, что это должен быть мой порядок операций (для первого сервера):
1. Удалите роль DHCP-сервера с мошеннического сервера.
2. Удалите мошеннический сервер из нашего домена.
3. Не авторизовать мошеннический сервер в DHCP mmc.
Я бы предпочел неавторизовать сервер перед удалением с него роли. Я могу сделать это с двумя другими серверами, которые перемещаются позже. Двигаясь дальше...
Еще один системный администратор работал над этим до меня, она выразила обеспокоенность тем, что AD будет синхронизировать информацию / объекты AD с DHCP-серверами. Я не знаю, что AD синхронизирует что-либо с сервером DHCP, но этот другой системный администратор, упоминающий, что это беспокоит меня (и моего менеджера). Мой менеджер хочет быть полностью уверенным, что на поддельных серверах не будет данных AD после их разложения и перемещения, включая любые ссылки на учетную запись домена, под которой работала служба DHCP. Кажется, восстановление серверов (чтобы полностью устранить любые проблемы с безопасностью после их перемещения за пределы площадки) не является вариантом. Я (пока) не знаю, какую версию Windows Server они используют.
Итак, вопрос (ы):
Что нужно исправить или убрать с порядком операций?
Есть ли какие-либо данные AD (включая журналы, хотя их расположение обычно довольно стандартное), которые мне нужно очистить от разложенных DHCP-серверов?
Будут ли какие-либо ссылки на учетную запись домена, под которой работала служба DHCP, и где я найду их для их очистки?
2 ответа
Что нужно исправить или убрать с порядком операций?
Ничего такого
Есть ли какие-либо данные AD (включая журналы, хотя их расположение обычно довольно стандартное), которые мне нужно очистить от разложенных DHCP-серверов?
Нет. В базе данных DHCP нет данных AD, данные AD находятся в базе данных AD.
Будут ли какие-либо ссылки на учетную запись домена, под которой работала служба DHCP, и где я найду их для их очистки?
Как правило, DHCP не запускается как служебная учетная запись. Если он был настроен так, посмотрите на проклятые серверы и посмотрите, как работает служба DHCP-сервера.
Вы определенно задумывались над этим, к вашему сведению.
Если DHCP-серверы были добавлены в домен, то после удаления из него обязательно будут ссылки на домен. Единственный безопасный способ гарантировать отсутствие данных AD на сервере - это стереть диски и переустановить окна (хотя все еще возможно вернуть данные с помощью программного обеспечения для восстановления данных).