一台额外域控制在没有进行降域的情况下就重装了系统,因此在域控制器里仍然保留此计算机的帐户。直接在dsa.msc界面里的域控制器计算机OU里是不能删除此计算机帐号的,会提示"dsa对像不能删除"的对话框。
因此,我想既然是非正常降域,那么应该是属于强制降域的情况。那么要清理AD里的此域控的残留信息,势必要用到ntdsutil这个命令,于是说做就做,就在域控里用ntdsutil把这个额外域控的残留信息给去除掉了,并且系统提示也没有出现错误。
于是又回到dsa.msc的图形界面,打开并找到域控制器计算机容器,找到此计算机帐号,选中点击右键删除,但是还不行,仍然提示"dsa对像不能删除",这时我就心想怪事了啦,明明已用ntdsutil给把它清除了,为什么还是不能删除啊??
网上找到了答案:
若 UserAccountControl 的值设置为 8192,则会发生此问题。
解决方案: 要解决此问题,请把 UserAccountControl 值更改为 4096。
备注:只有在下列任一情况属实时才可以使用此解决办法:
您已在域控制器上运行 dcpromo 工具将其降级。
计算机硬件发生故障,您使用 ntdsutil 进程清除了帐户元数据,然后从“Active Directory 站点和服务”中删除了帐户,但您仍不能删除该计算机帐户。
Both"(意思两个属性都选中),在"Select a property to view"(选择一个要查看的属性)列表框中,选择 UserAccountControl 这个属性,查看其值,并把其值改为 4096 ,然后单击设置按钮,单击应用,确定这后,退出"ADSI 编辑"
最后进入DSA.MSC界面,在域控器计算机容器里找到此计算机帐号就可以顺利把它给删除掉了。
转载于:https://blog.51cto.com/workmanlr/169453