У нас два КД DC1 и DC2 (для простоты понимания). DC1 - КД с ролью FSMO и прочее, т.е. он первый и главный. DC2 - КД, который является ещё и файлопомойкой на который реплицировалась AD с DC1. После переуствновки и восстановления DC2 - репликация нарушилась. Для создания пользователей я делал так: создавал пользователя на DC1 и на DC2, после чего в DC2 давал доступ этому пользователю к требуемым папкам. Т.е. в DC1 заводились юзеры для входа в домен, а на DC2 создавались такие же юзеры для доступа к фалопомойке.
Теперь хочу перенести AD на новый сервер DC2012 c DC1. Я пологаю нужно перенести AD из DC1 на DC2012 (новый сервер), а потом понизить DC1. А следом понизить и DC2.
Но те права что были до нарушения репликации - отсанутся (в DC1 и DC2), а вот после нарушения (те что в DC2) - пропадут, но их не очень много, восстановим. Прав ли я и каковы мои действия ? Или подскажите что сделать ? И что можно сделать в рабочее время, а что после?

я бы сделал вот как:
1) понизил DC2 до рядового сервера
2) вывел DC2 из домена
3) чистка Active Directory на DC1 от следов DC2
4) завёл бы DC2 в домен заново
5) т.к. SID все будут на месте, то права до восстановления будут рабочими.
6) ввести второй контроллер домена 2012 и не совмещать его с другими ролями, которыми активно пользуются пользователи.

но вначале лучше бы протестировать поведение прав на виртуальных машинах. А на будущее, назначать права NTFS через GPO.

А на будущее, назначать права NTFS через GPO. »

Еще лучше - поднять упавшую репликацию.

Я так понимаю что это делать в нерабочее время?
И что имеется ввиду: назначать права NTFS через GPO?

JohnikE, создавал пользователя на DC1 и на DC2, после чего в DC2 давал доступ этому пользователю к требуемым папкам - Как советует astomper7, разберитесь с репликацией, настройки пользователя переносятся автоматически.
Последуйте совету exo.
JohnikE, конечно в нерабочее.

С репликацией ничего не выйдет, уже пробовал, ехо помогал, тема уже тут обсуждалась.
Я думаю может пока ввести КД2012 и настроить репликацию между ним и DC1. А потом в нерабочее время понизить DC2 ?
И можно ли будет сменить IP у КД2012 на тот что был у DC1 после полной передачи прав?

И можно ли будет сменить IP у КД2012 на тот что был у DC1 после полной передачи прав? »
можно, но зачем?

можно, но зачем?»
Превычнее старый IP, да и настройки на файерволе и некотором другом оборудовании уже есть.

смена IP адреса контроллера домена (http://technet.microsoft.com/en-us/library/cc758579(WS.10).aspx)
переименование контроллера домена (http://technet.microsoft.com/en-us/library/cc794951(WS.10).aspx)

Сделал так: понизил DC2 предварительно удалив на нём упоминание о DC1, а в DC1 удалил упоминание о DC2. Удалил роли AD и DNS. Ввёл DC2 в домен, установил роли AD и DNS. Повысил DC2 до КД с репликацией. Вот только проблема при загрузке: очень долго выполняются любы операции (гуляние по шарам, подключение по RDP, какие либо настройки и прочее). Может это из-за DNS? Я не удалил на DC1 упоминание о DC в DNS (зона прямого просмотра). Может это из-за этого или ещё есть какие мысли ??

(гуляние по шарам, подключение по RDP, какие либо настройки и прочее). Может это из-за DNS? »
обычно да.
IPCONFIG /ALL покажите.

Windows IP Configuration

Host Name . . . . . . . . . . . . : DC2
Primary Dns Suffix . . . . . . . : domain.com
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : domain.com

Ethernet adapter:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) 82566DM-2 Gigabit Network Connection
Physical Address. . . . . . . . . : 0F-15-12-D5-7A-4B
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.0.2(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.5
DNS Servers . . . . . . . . . . . : 192.168.0.1
127.0.0.1
NetBIOS over Tcpip. . . . . . . . : Enabled


обычно да. »
Как исправить? Восстановить обратно и проделать всё заново, удалив ещё и DNS имена из DC1 ?? Или есть ещё какой способ ?

DNS Servers . . . . . . . . . . . : 192.168.0.1
127.0.0.1 »
а на DC2 нету что ли ДНС ?

ОК, проглядел! Спасибо.
И кстати права остались все.

И я так понимаю в DNS на DC1 не обязательно вычишать всё от DC2?!

exo спасибо огромное за помощь и всем остальным тоже!
Осталось только перенести всё на новый сервер. Оказалось всё не так страшно, как казалось. Больше тянул с этим всем делом ;)