Можно ли настроить Windows Client или Server так, чтобы они взаимодействовали только с одним и тем же сервером Active Directory? Может быть, через взлом реестра?
С уважением
решение1
Проблема не в том, что вы подключаетесь к разным серверам AD. Проблема в том, что когда вы создаете новый объект, AD должен связаться с RID Master и запросить новый SID с этого сервера. После завершения этого процесса AD создает объект, запускает обновление GC и уведомляет Infrastructure Master об обновлении.
Все это занимает секунду или две (в зависимости от того, сколько контроллеров домена AD в вашем домене). После того, как он создан, вы можете настроить списки контроля доступа с его помощью. Но в основном вам придется подождать.
решение2
Вопрос выше от kaerst — важный вопрос. Вероятно, есть более подходящие способы сделать это, например, использовать сайты и подсети AD для выбора DC в зависимости от архитектуры AD.
Если вы ищете хак, то навскидку, следующее может сработать. Рабочая станция или сервер-участник в домене Active Directory использует DNS для идентификации своих DC. Вы можете запросить DC следующим образом:
тип nslookup
введите следующее:
_ldap._tcp.ИмяДоменаЗдесь
Например, если ваше доменное имя awesome.com, вы должны выполнить nslookup для _ldap._tcp.awesome.com. Это должно вернуть одну или несколько записей SRV, которые по сути являются именами ваших контроллеров домена.
Добавьте все имена контроллеров домена в файл hosts и жестко запрограммируйте IP-адреса для всех этих имен контроллеров домена, чтобы они указывали на один нужный вам сервер DC.
решение3
Я решил проблему другим способом. Спасибо всем! (См. мой ответ:https://stackoverflow.com/questions/2948504/set-ntfs-permissions-with-directorysecurity-after-created-active-dirctory-groups/2950403#2950403)
решение4
Если вы можете поместить систему и контроллер домена, который вы хотите использовать, в одну и ту же IP-подсеть, то да, вы можете сделать это, определив определенный сайт Active Directory только для них.