Windows solo debe comunicarse con un servidor Active Directory específico

El problema no es que te estés conectando a diferentes servidores AD. Es que cuando creas un nuevo objeto, AD tiene que contactar al RID Master y solicitar un nuevo SID de ese servidor. Una vez que se completa el proceso, AD crea el objeto, inicia una actualización de GC y notifica al maestro de infraestructura de la actualización.

Todo esto tarda uno o dos segundos en finalizar (dependiendo de cuántos AD DC tenga en su dominio). Una vez creado, puede configurar las ACL usándolo. Pero básicamente hay que esperar.

La pregunta anterior de Kaerst es una pregunta importante. Probablemente existan formas más apropiadas de hacer esto, como usar sitios y subredes de AD para la selección de DC, según su arquitectura de AD.

Si estás buscando un truco, lo que se me ocurre a continuación podría funcionar. Una estación de trabajo o servidor miembro en un dominio de Active Directory utiliza DNS para identificar sus controladores de dominio. Puede consultar el DC de esta manera:

escriba nslookup

escriba lo siguiente:

_ldap._tcp.NombreDominioAquí

Por ejemplo, si su nombre de dominio es awesome.com, buscará _ldap._tcp.awesome.com. Esto debería devolver uno o más registros SRV que son esencialmente los nombres de sus controladores de dominio.

Agregue todos los nombres de controladores de dominio a su archivo de hosts y codifique las direcciones IP para que todos estos nombres de controladores de dominio apunten al servidor DC que desee.

He solucionado el problema de otra manera. ¡gracias a todos! (Vea mi respuesta:https://stackoverflow.com/questions/2948504/set-ntfs-permissions-with-directorysecurity-after-created-active-dirctory-groups/2950403#2950403)

Si puede colocar el sistema y el DC que desea usar en la misma subred IP, entonces sí, puede hacerlo definiendo un sitio de Active Directory específico solo para ellos.