Windows sollte nur mit einem bestimmten Active Directory-Server kommunizieren

Question 1

Das Problem besteht nicht darin, dass Sie eine Verbindung zu verschiedenen AD-Servern herstellen. Das Problem besteht darin, dass AD beim Erstellen eines neuen Objekts den RID-Master kontaktieren und von diesem Server eine neue SID anfordern muss. Sobald dieser Vorgang abgeschlossen ist, erstellt AD das Objekt, startet ein GC-Update und benachrichtigt den Infrastruktur-Master über das Update.

Dies alles dauert ein oder zwei Sekunden (je nachdem, wie viele AD DCs Sie in Ihrer Domäne haben). Nachdem es erstellt wurde, können Sie damit ACLs festlegen. Aber im Grunde müssen Sie warten.

Answer

Das Problem besteht nicht darin, dass Sie eine Verbindung zu verschiedenen AD-Servern herstellen. Das Problem besteht darin, dass AD beim Erstellen eines neuen Objekts den RID-Master kontaktieren und von diesem Server eine neue SID anfordern muss. Sobald dieser Vorgang abgeschlossen ist, erstellt AD das Objekt, startet ein GC-Update und benachrichtigt den Infrastruktur-Master über das Update.

Dies alles dauert ein oder zwei Sekunden (je nachdem, wie viele AD DCs Sie in Ihrer Domäne haben). Nachdem es erstellt wurde, können Sie damit ACLs festlegen. Aber im Grunde müssen Sie warten.

Question 2

Die obige Frage von kaerst ist eine wichtige Frage. Es gibt wahrscheinlich geeignetere Möglichkeiten, dies zu tun, z. B. die Verwendung von AD-Sites und Subnetzen zur DC-Auswahl, abhängig von Ihrer AD-Architektur.

Wenn Sie nach einem Hack suchen, könnte mir spontan Folgendes einfallen. Eine Arbeitsstation oder ein Mitgliedsserver in einer Active Directory-Domäne verwendet DNS, um seine DCs zu identifizieren. Sie können den DC folgendermaßen abfragen:

Geben Sie nslookup ein

Geben Sie Folgendes ein:

_ldap._tcp.DomänennameHier

Wenn Ihr Domänenname beispielsweise awesome.com lautet, würden Sie mit nslookup nach _ldap._tcp.awesome.com suchen. Dies sollte einen oder mehrere SRV-Einträge zurückgeben, die im Wesentlichen die Namen Ihrer Domänencontroller sind.

Fügen Sie alle Domänencontrollernamen zu Ihrer Hosts-Datei hinzu und codieren Sie die IP-Adressen für alle diese Domänencontrollernamen fest, sodass sie auf den gewünschten DC-Server verweisen.

Answer

Die obige Frage von kaerst ist eine wichtige Frage. Es gibt wahrscheinlich geeignetere Möglichkeiten, dies zu tun, z. B. die Verwendung von AD-Sites und Subnetzen zur DC-Auswahl, abhängig von Ihrer AD-Architektur.

Wenn Sie nach einem Hack suchen, könnte mir spontan Folgendes einfallen. Eine Arbeitsstation oder ein Mitgliedsserver in einer Active Directory-Domäne verwendet DNS, um seine DCs zu identifizieren. Sie können den DC folgendermaßen abfragen:

Geben Sie nslookup ein

Geben Sie Folgendes ein:

_ldap._tcp.DomänennameHier

Wenn Ihr Domänenname beispielsweise awesome.com lautet, würden Sie mit nslookup nach _ldap._tcp.awesome.com suchen. Dies sollte einen oder mehrere SRV-Einträge zurückgeben, die im Wesentlichen die Namen Ihrer Domänencontroller sind.

Fügen Sie alle Domänencontrollernamen zu Ihrer Hosts-Datei hinzu und codieren Sie die IP-Adressen für alle diese Domänencontrollernamen fest, sodass sie auf den gewünschten DC-Server verweisen.

Question 3

Ich habe das Problem auf eine andere Weise gelöst. Danke an alle! (Siehe meine Antwort:https://stackoverflow.com/questions/2948504/set-ntfs-permissions-with-directorysecurity-after-created-active-dirctory-groups/2950403#2950403)

Answer

Ich habe das Problem auf eine andere Weise gelöst. Danke an alle! (Siehe meine Antwort:https://stackoverflow.com/questions/2948504/set-ntfs-permissions-with-directorysecurity-after-created-active-dirctory-groups/2950403#2950403)

Question 4

Wenn Sie das System und den DC, den es verwenden soll, im selben IP-Subnetz platzieren können, dann ist dies möglich, indem Sie einen speziellen Active Directory-Standort nur für sie definieren.

Answer

Wenn Sie das System und den DC, den es verwenden soll, im selben IP-Subnetz platzieren können, dann ist dies möglich, indem Sie einen speziellen Active Directory-Standort nur für sie definieren.

Windows sollte nur mit einem bestimmten Active Directory-Server kommunizieren

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen