Windows - Az Active Directory eltávolítása

Az Active Directory minden további nélkül eltávolítható egy tartományvezérlőről, azonban körültekintően kell eljárni, mert könnyen elveszíthetjük a címtári adatbázist. Cikkünkben az eltávolítás folyamatát ismertetjük és felhívjuk a figyelmet a lehetséges veszélyekre. A cikkben foglalt műveletek elvégzéséhez rendszergazdai jogok szükségesek.

Mielőtt eltávolítanánk az Active Directory-t egy tartományvezérlőről, fontoljuk meg az alábbiakat:

Ha egy tartományban több tartományvezérlő van és ezek közül az egyiket megszüntetjük, gyakorlatilag nem sérül a címtár egésze. Más a helyzet, ha csak egy vagy az utolsó tartományvezérlőt távolítjuk el, ekkor ugyanis a tartomány megszűnik és többet nem lehet visszaállítani, csak ha mindent újratelepítünk és újrakonfigurálunk.
Mi történik a kiszolgálóval, ha levesszük róla az Active Directory-t? Visszaminősül tagkiszolgálóvá, nem lesz többé tartományvezérlő. Tagkiszolgálónak azokat a Windows 2000 kiszolgáló verzióit (Server, Advanced Server, Datacenter Server) nevezzük, amelyek nem töltenek be tartományvezérlői feladatot.
Figyelembe kell venni még egy szempontot: többtartományos rendszerben, ahol tartományi hierarchia van kialakítva, tehát tartományok, fák és erdők vannak és ezek között alá- fölérendeltségi viszony van, mindig a legalacsonyabb pozícióban lévő tartományt kell megszüntetni. Ha a szerkezet egy köztes pontján avatkozunk közbe, az alatta lévő rendszer szétesik. Ez perszer csak akkor igaz, ha egy tartományban az utolsó tartományvezérlőt is visszaminősítettük tagkiszolgálóvá. Visszaállítani az eredeti állapotot nem lehet, mert szülőtartományból képezhető gyermektartomány, de fordítva nem. Így a hierarchia megszüntetési pontja alatti gyermektartományok magukra maradnak.

Milyen következményekkel jár az Active Directory eltávolítása?

Ha a tartomány utolsó tartományvezérlőjéről távolítjuk el - megszűnik a tartomány. Ekkor törlődnek a felhasználói fiókok a hozzájuk tartozó beállításokkal együtt (pl.: betárcsázási engedélyek, csoportházirend által meghatározott konfigurációs és biztonsági beállítások, titkosítási kulcsok). Azok a fájlok, amelyeket egy tartományba bejelentkezett felhasználó titkosított, ezután nem lesznek elérhetők még a tulajdonosa számára sem. Megoldás: amíg működik a tartomány titkosítás nélkül kell készíteni egy biztonsági másolatot.
DFS szolgáltatással központosított hálózati erőforrások csak eredeti helyükön és nem a központi nyilvántartásban lesznek hozzáférhetők.
Mindezzel nem kell számolnunk, ha nem a tartomány utolsó tartományvezérlőjéről távolítjuk el az Active Directory-t.

Ezek eddig inkább kötöttségek voltak, ami viszont mindenképpen pozitívnak tekinthető, hogy nincs szükség a Windows 2000 kiszolgáló operációs rendszerének újratelepítésére az Active Directory eltávolításához. A visszaminősítési folyamat közel annyi időt vesz igénybe, mint a telepítés és a végén egy újraindítást követően véget is ér.

Az eltávolítás lépései:

Indítsuk el az Active Directory telepítő varázslóját: a Start > Futtatás (Start > Run) mezőbe írjuk be: dcpromo (ugyanide jutunk a WIN+R > dcpromo kombinációval is).

Az első üdvözlő oldalon lépjük át a "Tovább" ("Next") gombbal.

Abban az esetben, ha az adott kiszolgáló globáliskatalógus kiszolgáló is, kapunk egy figyelmeztető üzenetet, hogy a címtárban legalább egy ilyen kiszolgálónak kell maradnia, különben nem fognak tudni a felhasználók bejelentkezni. Ennek nem kötelező kifejezetten az adott tartományban lennie, lehet az erdő bármely tartományvezérlőjén, lényeg, hogy a kliensek számára elérhető legyen. A rendszer ezt nem ellenőrzi a választást ránk bízza.

A következő oldalon egy jelölőnégyzet szerepel: Ez a kiszolgáló az utolsó tartományvezérlő a tartományban (This server is the last domain controller in the domain). Ha ez így van és kipipáljuk a négyzetet, azzal megszüntetjük a tartományt. Ha nem, akkor csak az adott gépről távolítjuk el az Active Directory-t.

Ezt követően a műveletek elvégzésére jogosult rendszergazda nevét és jelszavát kell megadni. Ilyen a "Vállalati rendszergazda", aki a teljes tartományi hálózatban a legmagasabb jogokkal bír.

Az eltávolítás végeztével létrejön egy helyi felhasználói adatbázis úgy, mint minden nem tartományvezérlő funkciókat ellátó gépen és ebben keletkezik egy új rendszergazdai fiók, amelynek a jelszavát most kéri tőlünk a rendszer. Írjuk be, majd megerősítésként még egyszer be kell írnunk.

Majd következik egy összegző ablak, ahol nyomon követhetjük, hogy milyen beállításokat választottunk és ez milyen fő következménnyel jár:
"A folyamat végén ez a tartomány megszűnik" ("When the process is complete, this domain will no longer exist.")) - ha a tartomány utolsó tartományvezérlőjét minősítjük vissza.

"A folyamat végén ez a kiszolgáló a(z) xyz tartomány tagja lesz" ("When the process is complete, this server will be a member of the domain xyz") - ha nem a tartomány utolsó tartományvezérlőjét minősítjük vissza.

Kattintsunk a "Tovább" ("Next") gombra és megtörténik az Active Directory eltávolítása. Ez pár perces várakozást jelent részünkről. A varázsló utolsó oldalán kattintsunk a "Befejezés" ("Finish") gombra és a rendszer felajánlja nekünk a gép újraindítását, aminek megtörténte után a helyi felhasználói fiókokkal lehet csak bejelentkezni. Ha nem szüntettük meg a tartományt, csak az egyik kiszolgálóját minősítettük vissza, továbbra is használhatóak a tartományi fiókok.