Tal como vimos en el artículo previo, a partir de Windows Server 2008, podemos realizar la des promoción de un controlador de dominio desde la consola gráfica, sin necesidad luego de eliminar la metadata como lo realizábamos con Windows Server 2003.
En este caso, veremos cómo realizar el mismo procedimiento pero aplicado a controladores de dominio de solo lectura.
Tutorial remoción controlador de dominio de solo lectura forma gráfica:
Paso 1:
• Abrimos la consola Active Directory Users and Computers.
Paso 2:
• En la unidad organizacional “Domain Controllers” nos posicionamos sobre el controlador de dominio de solo lectura que deseamos despromover y hacemos click derecho “Delete”.
Paso 3:
• La pantalla de advertencia, a diferencia de un controlador de dominio “grabable”, nos informa que estamos eliminando un controlador de dominio de solo lectura y permite seleccionar las siguientes opciones:
1. “Reset all passwords for user accounts that were cached on This Domain Controller.” La cual nos permite blanquear las contraseñas de los usuarios que están cacheados en el RODC, luego debemos proveerles a dichos usuarios unas nuevas contraseñas.
2. “Reset all passwords for computer accounts that where cached on this Read-Only Domain Controller”. Esta opción saca del dominio a los equipos que tenían cacheadas sus contraseñas y cuentas en el RODC. Debemos volver a unirlos al dominio en caso de tener que seguir utilizándolos en Active Directory.
3. “Export the list of accounts that were cached on this Read-Only Domain Controller to this file:” Esta última, permite exportar a un archivo .csv una lista de las cuentas que fueron cacheadas en el RODC.
• Para este ejemplo seleccionaremos las tres opciones.
- En caso que hagamos click sobre el botón “View List…” veremos la lista de las cuentas almacenadas en el RODC.
Paso 4:
- En este paso, el cartel de advertencia nos indica que estamos por eliminar un controlador de dominio, su metadata y que vamos a resetear las contraseñas de las cuentas almacenadas en el RODC.
Paso 5:
- En este paso, el cartel de información nos indica que el controlador de dominio que vamos a eliminar es catalogo global.
- Debemos hacer click en “Yes” para continuar con el proceso de remoción del controlador de dominio.
Listo, ya hemos removido el controlador de dominio de solo lectura y toda su metada data de Active Directory.
Por último, si nos fijamos en la ruta donde que seleccionamos para exportar las cuentas almacenadas veremos el archivo .csv
Conclusión
Tal como vimos, este método el cual está disponible desde Windows Server 2008, nos permite ahorrar tiempo a la hora de despromover controladores de dominio los cuales pueden estar fuera de línea sin necesidad de ejecutar la limpieza de la metadata, eliminación del objeto desde ADSIEdit y demás cuestiones que debíamos realizar en forma manual en Windows Server 2003 en los casos que teníamos que eliminar un controlador de dominio el cual ya no se encontraba operativo.
Es una manera rápida, efectiva y nos permite a su vez para RODC resetear las contraseñas de los usuarios y sacar los equipos del dominio en forma remota en un solo paso, en caso que nuestro servidor haya sido sustraído o vulnerado.
