我希望在开放网络中部署独立的 Active Directory,使其不作为登录选项或工作组显示给其他未加入的计算机。目前的计划是:
- 启动服务器 #1,使其成为 PDC
- 启动服务器 #2,将其 DNS 设置为 PDC,加入域
- 以某种方式隐藏它
- 利润!
应该禁用什么以便加入域的服务器不会宣传其 AD/工作组?
答案1
- 随着 Active Directory 的出现,PDC/BDC 术语已不复存在。您拥有的是域控制器。
- 什么让你认为 AD 会以某种方式在网络上“做广告”?
- 即使它被“宣传”,那又有什么区别呢?没有有效的 AD 凭据就无法将计算机加入域。
如果您想在网络上“隐藏”任何东西,您需要在要隐藏的东西和要隐藏的对象之间设置防火墙。因此,请将您的 AD 服务器移至其自己的子网和 VLAN,然后制定防火墙规则以仅允许您所需的流量。
答案2
所以我本来不打算回答这个问题,但我决定发表一个答案来澄清一些事情。
它是从技术上讲,域控制器会将 NetBIOS 名称服务流量广播到网络广播地址,将自己宣传为域的域控制器,但这与用户登录时计算机“看到”或可用的内容没有任何关系。未加入域的计算机在用户登录时不会“看到”任何可用的域。加入域的计算机只能“看到”它加入的域,或它自己的域信任的任何域。
您可能会在“网上邻居”/“我的网络位置”中“看到”其他域和工作组,但这些域不会作为登录的潜在“目标”向计算机“公布”。计算机只能“看到”并登录其所属的域(或受其自身域信任的域)。
也许您真正想要的是如何禁用网络发现,以便计算机在网络中不可见。如果是这样,请阅读此处:
http://windows.microsoft.com/en-us/windows/enable-disable-network-discovery#1TC=windows-7