Удаление Active Directory

Служба Active Directory удаляется из контроллера домена с помощью той же самой команды, которая используется для ее установки -Dcpromo.exe. Когда вы выполняете эту команду на компьютере, являющемся контроллером домена, мастер инсталляции Active Directory уведомит вас, что если вы выберете продолжение этой процедуры, то Active Directory будет деинсталлирована. Последовательность действий зависит от того, является ли контроллер домена, с которого вы удаляете Active Directory, последним контроллером домена в домене или нет. В этом разделе обсуждаются последствия удаления Active Directory.
Что происходит с контроллером домена, когда вы удаляете Active Directory? Удаляется база данных каталога, все услуги, необходимые для Active Directory, останавливаются и удаляются, создается локальная база данных SAM, и компьютер понижается до роли автономного сервера или сервера члена группы. Результат будет зависеть от того, является ли контроллер домена дополнительным контроллером домена или последним контроллером домена в домене или лесу.

Чтобы удалить Active Directory из контроллера домена, напечатайте dcpromoв командной строке или в диалоговом окне Run. Вначале нужно определить, является ли контроллер домена дополнительным контроллером домена или последним контроллером домена в домене. На рисунке 6-16 показано окно соответствующего мастера.


Рис. 6-16. Опция удаления последнего контроллера домена

Затем мастер инсталляции Active Directory отобразит список всех разделов приложений каталога, найденных на контроллере домена. Если этот контроллер домена - последний в домене, то он является последним источником этих данных приложений. Возможно, что вы захотите защитить эти данные, прежде чем продолжать использование мастера, который удалит эти разделы. Если контроллер домена, из которого вы удаляете Active Directory, является также сервером DNS, то там будут находиться, по крайней мере, два раздела приложений каталога, в которых хранятся зонные данные. На рисунке 6-17 смотрите пример разделов приложений DNS каталога, найденных при деинсталляции Active Directory.

После того как вы подтвердите удаление прикладного раздела каталога, вас попросят ввести новый пароль для локальной учетной записи администратора. Затем появится окно Summary (Резюме), и удаление Active Directory завершится. Для окончания этого процесса вы должны перезапустить компьютер. После перезапуска компьютера он будет играть роль сервера-члена домена или автономного сервера.


Рис. 6-17. Удаление разделов приложений DNS в каталоге


Удаление дополнительных контроллеров домена

Удаление Active Directory из дополнительных контроллеров домена -не такое запутанное дело, как удаление Active Directory с последнего контроллера домена в домене или лесу. В случае удаления дополнительных контроллеров домена остаются реплики разделов каталога, хранящиеся на других контроллерах домена, так что фактически данные не будут потеряны. Множество интересных изменений происходит на контроллере домена при деинсталляции Active Directory.

  • Все роли хозяина операций передаются другим контроллерам домена в домене.
  • Папка Sysvol и все ее содержимое удаляется из контроллера домена.
  • Объект NTDSSettings(Параметры настройки NTDS) и перекрестные ссылки удаляются.
  • Служба DNS обновляется для удаления SRV записей контроллеров домена.
  • Создается локальная база данных SAM для обработки локальной политики безопасности.
  • Все службы, которые были запущены при установке Active Directory (например, Net Logon - Сетевой вход в систему), останавливаются.

Тип учетных записей компьютера изменяется с контроллера домена на сервер-член домена, и учетная запись компьютера перемещается из контейнера Domain Controllers (Контроллеры домена) в контейнер Computers (Компьютеры). Чтобы удалить Active Directory из дополнительного контроллера домена, вы должны войти в систему как член группы Domain Admins или Enterprise Admins.

Примечание. При удалении Active Directory с дополнительного контроллера домена удостоверьтесь, что в домене имеется другой доступный каталог GC. Каталоги GC требуются для пользовательского входа в систему, и эта роль не передается автоматически, как передаются роли хозяина операций.


Удаление последнего контроллера домена

При удалении последнего контроллера домена в домене происходят некоторые специфические события. При удалении последнего контроллера домена удаляется сам домен. Аналогично, если контроллер домена является последним в лесу, то лес также удаляется. События, связанные с удалением последнего контроллера домена в домене, включают следующее.

  • Мастер инсталляции Active Directory проверяет, что не существует никаких дочерних доменов. Удаление Active Directory блокируется, если обнаружены дочерние домены.
  • Если домен, который будет удален, является дочерним доменом, то организуется контакт с контроллером домена в родительском домене, и на него копируются изменения.
  • Все объекты, связанные с этим доменом, удаляются из леса.
  • Все объекты доверительных отношений на родительском контроллере домена удаляются.
  • После того как Active Directory удалена, тип учетной записи компьютера изменяется с контроллера домена на автономный сервер. Сервер помещается в рабочую группу по имени Workgroup (Рабочая группа).

Административные разрешения, необходимые для удаления последнего контроллера домена в дочернем домене или в корневом домене дерева предполагают, что вы должны войти в систему как член группы Enterprise Admins (Администраторы предприятия) или предъявить сертификаты администратора предприятия в процессе выполнения мастера инсталляции Active Directory. Если вы удаляете Active Directory из последнего контроллера домена в лесу, вы должны войти в систему или как Administrator (Администратор), или как член группы Domain Admins (Администраторы домена).

Автоматическое удаление Active Directory

Удаление Active Directory может происходить в автоматическом режиме, подобно автоматической инсталляции. Для этого используется командная строка. Единственное различие — содержание файла ответов.
Чтобы выполнить автоматическое удаление Active Directory, в командной строке или в диалоговом окне Run, напечатайте dcpromo/ answer:answerfile(где answerfile— имя файла ответов, который вы создадите). Файл ответов содержит значения ключей, которые рассматривались выше. Важнейший ключ — IsLastDCInDomain—.может иметь значение Yes (Да) или No (Нет). Если вы устанавливаете значение этого ключа на Yes, то тем самым указываете, что удаляете Active Directory из последнего контроллера домена в домене и сам домен тоже будет удален. Типовой файл ответов, предназначенный для удаления дополнительного контроллера домена, показан ниже:

[Deinstall]
RebootOnSuccess=Yes
lsLastDCInDomain=No
AdministratorPassword=passivord
Passwo rd =password
UserName=Administrator