是否可以在 Windows 客户端或服务器上设置它们仅与同一特定 Active Directory 服务器通信?也许可以通过注册表黑客来实现?
亲切的问候
答案1
问题不在于您连接到不同的 AD 服务器。问题在于当您创建新对象时,AD 必须联系 RID 主机并从该服务器请求新的 SID。该过程完成后,AD 将创建对象、启动 GC 更新并通知基础架构主机该更新。
这一切需要一两秒钟才能完成(取决于您的域中有多少个 AD DC)。创建后,您可以使用它设置 ACL。但基本上,您必须等待。
答案2
kaerst 的上述问题很重要。可能有更合适的方法来实现这一点,例如根据您的 AD 架构使用 AD 站点和子网进行 DC 选择。
如果您正在寻找黑客攻击,那么我认为以下方法可能有效。 Active Directory 域中的工作站或成员服务器使用 DNS 来识别其 DC。 您可以像这样查询 DC:
键入 nslookup
输入以下内容:
_ldap._tcp.域名在这里
例如,如果您的域名是 awesome.com,您可以 nslookup 查找 _ldap._tcp.awesome.com。这将返回一个或多个 SRV 记录,这些记录实际上是您的域控制器的名称。
将所有域控制器名称添加到您的主机文件中,并对所有这些域控制器名称的 IP 地址进行硬编码,以指向您想要的一个 DC 服务器。
答案3
答案4
如果您可以将系统和希望其使用的 DC 放在同一个 IP 子网上,那么是的,您可以通过仅为它们定义特定的 Active Directory 站点来做到这一点。