我们正在处理链式配置请求,目标是连续创建与刚创建的 AD 帐户关联的 AD 帐户和 AD LDS 用户代理帐户。
AD 帐户 SID 在创建后立即检索,并在 AD LDS userProxy 帐户创建输入中提供。不幸的是,由于 SID 有效性检查所针对的 DC 与 AD 帐户创建所引用的 DC 不同,因此 userProxy 帐户创建失败。
有什么方法可以禁用有效性检查并在 userProxy 创建中强制使用(AD LDS 端尚不知道的)SID 值?
如果不是,处理此类问题的首选方法是什么?如果不知道 AD LDS 请求哪个 DC 进行 SID 检查,等待一段时间(进行 DC 复制)似乎不太可靠(需要多长时间?),并且会延长过程持续时间。限制执行 AD LDS SID 检查的 DC(如果可能的话)似乎对 AD LDS 管理员来说过于严格。