Windows 클라이언트 또는 서버에서 동일한 특정 Active Directory 서버하고만 통신하도록 설정할 수 있습니까? 어쩌면 레지스트리 해킹을 통해서일까요?
감사합니다
답변1
문제는 다른 AD 서버에 연결하고 있다는 것이 아닙니다. 새 개체를 만들 때 AD는 RID 마스터에 연결하여 해당 서버에서 새 SID를 요청해야 합니다. 해당 프로세스가 완료되면 AD는 개체를 생성하고 GC 업데이트를 시작하고 인프라 마스터에 업데이트를 알립니다.
이 모든 작업을 완료하는 데 1~2초 정도 걸립니다(도메인에 있는 AD DC 수에 따라 다름). 생성된 후에는 이를 사용하여 ACL을 설정할 수 있습니다. 하지만 기본적으로는 기다려야 합니다.
답변2
위의 kaerst의 질문은 중요한 질문입니다. AD 아키텍처에 따라 DC 선택을 위해 AD 사이트 및 서브넷을 사용하는 등 이를 수행하는 더 적절한 방법이 있을 수 있습니다.
내 머리 꼭대기에서 해킹을 찾고 있다면 다음이 작동할 수 있습니다. Active Directory 도메인의 워크스테이션이나 구성원 서버는 DNS를 사용하여 해당 DC를 식별합니다. 다음과 같이 DC를 쿼리할 수 있습니다.
nslookup을 입력하세요.
다음을 입력하세요:
_ldap._tcp.DomainName여기
예를 들어 도메인 이름이 awesome.com인 경우 _ldap._tcp.awesome.com을 nslookup합니다. 기본적으로 도메인 컨트롤러의 이름인 하나 이상의 SRV 레코드가 반환되어야 합니다.
호스트 파일에 모든 도메인 컨트롤러 이름을 추가하고 원하는 DC 서버 하나를 가리키도록 모든 도메인 컨트롤러 이름의 IP 주소를 하드 코딩합니다.
답변3
나는 다른 방법으로 문제를 해결했습니다. 모두 감사합니다! (내 답변을 참조하세요:https://stackoverflow.com/questions/2948504/set-ntfs-permissions-with-directorysecurity-after-created-active-dirctory-groups/2950403#2950403)
답변4
동일한 IP 서브넷에 사용하려는 시스템과 DC를 배치할 수 있다면 해당 시스템에 대해서만 특정 Active Directory 사이트를 정의하여 그렇게 할 수 있습니다.