这有点奇怪。我在 Windows 7 工作站上安装了组策略管理控制台,并从那里配置策略。有时我直接在域控制器上执行此操作,但大多数时候我使用管理控制台。问题是,网络团队检测到许多随机客户端计算机正在端口 445 上与我的计算机建立连接,还检测到从 y PC 运行的某些程序试图更改客户端上的注册表值。我最近创建了一个 GPO,其中包含一个登录脚本,该脚本将一些 jpg 复制到每个客户端上的本地文件夹并更改屏幕保护程序。GPO
是否可能以某种方式将脚本指向我的计算机?我仔细检查了 GPO 配置,登录脚本位于 SYSVOL 上的 GPO 文件夹中。有什么方法可以检查吗?DC 是 Windows Server 2008 R2。
多谢。
答案1
检查 DNS。目前看起来好像有问题。
as-domain(“@”)A 资源记录应始终指向最近的域控制器,而不应指向其他任何地方。例如,在 AD 域“example.com”中,每个域控制器应有一条 DNS 记录“example.com.A dc.ad.dre.ss”,而不应有任何其他“example.com.A”条目。
当您添加域控制器时,这些记录应该会自动添加。
这是 SYSVOL 冗余和分布式文件系统的实现方式。客户端通过“\\example.com\SYSVOL”连接到域的 sysvol,即使用域 FQDN 访问它,如果一切配置正确,它们最终将与某个域控制器进行通信。
Windows 使不同域控制器上的 sysvol 文件保持同步,因此您可以在任何控制器上更新 GPO,它们最终会自动分发到其他 DC。但是,这并不是实时完成的,这也是 GPO 无法在更新后立即工作的原因之一。
我想在这里提到一些 Samba4 AD 控制器行为。Samba4 没有集成同步 SYSVOL 中的文件的功能,您必须从外部执行此操作(通常通过 rsync 完成,也可能是 lsycnd)。从 Samba4 DC 同步到 Windows DC 也存在问题。例如,Zentyal DC(基于 Samba4 和 Debian)仅支持将 SYSVOL 从 Windows 同步到 Zentyal 或从 Zentyal 同步到 Zentyal。
无论如何,如果您拥有一个注册域名“example.com”,请不要创建具有相同名称的 Active Directory,否则您将无法将裸露的“example.com”名称用于网站。这是众所周知的 MS AD 缺点。Microsoft 也不建议这样做;他们建议创建一些子域并从那里启动 AD 树。