Windows クライアントまたはサーバー上で、同じ特定の Active Directory サーバーとのみ通信するように設定することは可能ですか? レジストリ ハックを通じてでしょうか?
敬具
答え1
問題は、異なる AD サーバーに接続していることではありません。新しいオブジェクトを作成するときに、AD が RID マスターに接続し、そのサーバーから新しい SID を要求する必要があることです。このプロセスが完了すると、AD はオブジェクトを作成し、GC 更新を開始し、インフラストラクチャ マスターに更新を通知します。
この処理が完了するまでに 1 ~ 2 秒かかります (ドメイン内の AD DC の数によって異なります)。作成されたら、それを使用して ACL を設定できます。ただし、基本的には待つ必要があります。
答え2
上記の kaerst からの質問は重要な質問です。AD アーキテクチャに応じて、DC 選択に AD サイトとサブネットを使用するなど、これを行うより適切な方法がある可能性があります。
ハックを探しているなら、思いつく限りでは、次の方法が使えるかもしれません。Active Directory ドメイン内のワークステーションまたはメンバー サーバーは、DNS を使用して DC を識別します。次のように DC をクエリできます。
nslookupと入力する
次のように入力します。
_ldap._tcp.ドメイン名
たとえば、ドメイン名が awesome.com の場合、_ldap._tcp.awesome.com に対して nslookup を実行します。これにより、基本的にドメイン コントローラの名前である 1 つ以上の SRV レコードが返されます。
すべてのドメイン コントローラー名をホスト ファイルに追加し、これらすべてのドメイン コントローラー名の IP アドレスをハードコードして、必要な 1 つの DC サーバーを指すようにします。
答え3
私は別の方法で問題を解決しました。皆さんありがとう!(私の回答を参照してください:https://stackoverflow.com/questions/2948504/set-ntfs-permissions-with-directorysecurity-after-created-active-dirctory-groups/2950403#2950403)
答え4
システムと、システムで使用する DC を同じ IP サブネットに配置できる場合は、それらのみを対象に特定の Active Directory サイトを定義することでそれを実行できます。