Моя ситуация такова, что я развернул пару контроллеров домена в некоторых местах. Мой босс не хотел тратить деньги на серверы, поэтому я повторно использовал некоторые серверы, которые мы не использовали.
Я установил их в качестве контроллеров домена и добавил к ним репликацию DFSR. Все работает нормально, у меня вообще нет проблем, он отлично работает год или больше.
Я работаю над защитой нашей AD, и я больше не использую свои учетные данные администратора домена ни для чего, только в чрезвычайных ситуациях.
На днях я заметил, что не могу добавлять новые папки и предоставлять общий доступ к серверам, которые являются контроллерами домена, и понимаю, почему не могу. Я добавил свою группу AD dfsradmin
в делегирование, но это не позаботилось об этом. Я просто пытаюсь работать с тем, что у меня есть.
Каким будет самый простой способ разрешить администратору, не являющемуся доменом, добавлять папки и делиться ими с этого сервера, который является контроллером домена?
Я знаю, что это было бы лучше всего чтобы разделить их, но сейчас я не могу. Все папки и общие ресурсы находятся на отдельном томе. Это также Server Core 2019.
Есть предложения?
В худшем случае мы просто добавляем по одному серверу в каждое место с этой настройкой, но я смотрю, смогу ли я работать с тем, что у меня есть, пока мы не сможем это сделать.
Хорошо. Итак, после дополнительных исследований я понял, что мне следовало сделать эти контроллеры домена только для чтения. Я просто понижу их в должности, а затем добавлю обратно как rodc.