คำถามติดแท็ก active-directory

ใน Exchange 2010 กลุ่มการแจกจ่ายจะต้องเป็นสากล เอกสารนี้รองรับ คุณสามารถสร้างหรือเปิดใช้งานเมลกลุ่มการแจกจ่ายสากลเท่านั้น ฉันกำลังพยายามสร้างโครงสร้างกลุ่มความปลอดภัยตามบทบาทเพื่อที่ว่าถ้าใครออกหรือเปลี่ยนแปลงงานคุณจะต้องเปลี่ยนการเป็นสมาชิกกลุ่มของผู้ใช้ "บทบาท" (ที่บทบาทนั้นเป็นเพียงกลุ่มความปลอดภัยอื่น) ในรูปแบบที่ง่ายที่สุดบทบาทจะมีผู้ใช้สำหรับสมาชิกและบทบาทนั้นจะเป็นสมาชิกของกลุ่มความปลอดภัยที่เน้นทรัพยากรเป็นศูนย์กลางเช่นกลุ่มอ่านเขียนเพื่อแบ่งปัน มีรูปแบบมากกว่านั้น แต่ควรเพียงพอสำหรับวัตถุประสงค์ของคำถามนี้ ปัญหามาจากเมื่อฉันต้องการเพิ่มกลุ่มบทบาทเหล่านี้ในฐานะสมาชิกการแจกจ่าย ถ้าฉันลองและเพิ่มบทบาท "ผู้จัดการฝ่ายการตลาด" ในรายชื่อการแจกจ่าย "marketing@domain.com" มันจะไม่ส่งต่อจดหมายไปยังสมาชิกบทบาทเว้นแต่กลุ่มความปลอดภัยของบทบาทนั้นเป็นสากล กลุ่มสากลไม่สามารถเป็นสมาชิกของกลุ่มส่วนกลางได้ ดังนั้นถ้าฉันต้องการแปลงกลุ่มบทบาทของฉันให้เป็นสากลเพื่อที่ฉันจะสามารถเปิดใช้งานอีเมลได้พวกเขาก็จะต้องเปลี่ยนกลุ่มด้วยตัวของมันเองก็เป็นสมาชิกเช่นกัน ซึ่งหมายความว่าฉันจะแปลงกลุ่มความปลอดภัยของฉันใน AD ให้เป็นสากลเพื่อสนับสนุนโครงสร้างที่เสนอของฉัน เราเป็นฟอเรสต์โดเมนเดียวที่มีผู้ใช้งานประมาณ 1,000 คนและฉันคาดว่าเมื่อกลุ่มทั้งหมดนี้มี 1,000+ ระดับการทำงานของโดเมนคือ 2008R2 ฉันไม่ทราบถึงผลกระทบที่อาจเกิดขึ้นกับสภาพแวดล้อมของไดเรกทอรีที่ใช้งานอยู่ของเรา การทำให้ทุกกลุ่มเป็นสากลเป็นวิธีเดียวที่จะทำสิ่งนี้หรือไม่ถ้าฉันต้องการเพิ่มบทบาทของฉันลงในกลุ่มการแจกจ่ายหรือไม่ คำตอบที่ดูเหมือนจะใช่ถ้าผมต้องการให้พวกเขาที่จะใช้สำหรับจดหมาย ฉันต้องการสิ่งนี้เพื่อช่วยให้ผู้ใช้โต๊ะไม่ต้องกังวลกับสิ่งที่กลุ่มผู้ใช้ต้องการ พวกเขาแค่ต้องรู้ "บทบาท" ของพวกเขา คำถามที่เชื่อมโยงตอบว่าทำไมฉันไม่สามารถมีกลุ่มความปลอดภัยได้ง่าย แต่ฉันต้องการทราบว่าโครงสร้างที่เสนอของฉันหมายความว่าฉันจะแปลงให้กลุ่มของฉันเป็นสากลมีความหมายเชิงลบหรืออาจถือว่าเป็นการปฏิบัติที่ไม่ดี

10 active-directory  exchange  exchange-2010  groups 

(แก้ไขเพื่อให้ตรงกับความเข้าใจในคำตอบของผู้เขียน - คำถามใหม่สะอาดและใหม่โพสต์ที่นี่: Active Directory + Google Authenticator - รองรับ Native ใน Windows Server หรือไม่ ) การวิจัยเสร็จสิ้นแล้ว มีบทความด้านเทคนิคเกี่ยวกับวิธีใช้ Google authenticator พร้อม Active Directory Federated Services (AD FS): https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords สำหรับหลายปัจจัยรับรองความถูกต้องในการโฆษณา FS-3-0 / ดูเหมือนว่าจะเป็นโครงการ dev ที่ต้องใช้รหัสและ SQL DB ของตัวเอง เราไม่ได้พูดถึง AD FS ที่นี่โดยเฉพาะ เรากำลังมองหาเมื่อคุณไปถึงสำหรับ 2FA การสนับสนุน RFC ของ Google Authenticator pref …

10 windows  active-directory  authentication 

ฉันได้กำหนดการตั้งค่า BitLocker และ TPM ในนโยบายกลุ่มเพื่อให้มีการตั้งค่าตัวเลือกทั้งหมดและคีย์กู้คืนที่เก็บไว้ใน Active Directory เครื่องทั้งหมดของเราใช้ Windows 7 พร้อมภาพลักษณ์มาตรฐานและเปิดใช้งานชิป TPM และใช้งานใน BIOS เป้าหมายของฉันคือการทำให้ผู้ใช้ทั้งหมดต้องคลิกเปิดใช้งาน BitLocker และไปได้เลย Microsoft ยังให้ตัวอย่างอัตโนมัติที่สามารถปรับใช้ผ่านสคริปต์ แต่มีอาการสะอึกเล็ก ๆ ที่ทำให้กระบวนการนี้ราบรื่น ใน GUI เมื่อผู้ใช้เปิดใช้งาน BitLocker ผู้ใช้จะต้องเริ่มต้น TPM ด้วยรหัสผ่านของเจ้าของที่สร้างขึ้นโดยอัตโนมัติ อย่างไรก็ตามรหัสผ่านการกู้คืนจะแสดงให้ผู้ใช้และพวกเขาจะได้รับแจ้งให้บันทึกลงในไฟล์ข้อความ ฉันไม่สามารถระงับกล่องโต้ตอบนี้และไม่สามารถข้ามขั้นตอนได้ นี่คือพรอมต์ที่ไม่ต้องการ (และไม่จำเป็น) เนื่องจากคีย์สำรองไปยัง AD เรียบร้อยแล้ว ถ้าฉันสคริปต์การปรับใช้ฉันต้องระบุรหัสผ่านเจ้าของในสคริปต์เมื่อฉันเริ่มต้น TPM และฉันต้องการให้มันถูกสร้างแบบสุ่มในแบบที่ GUI ทำ มีวิธีใดที่จะทำให้การปรับใช้ BitLocker เป็นศูนย์อย่างแท้จริงแตะที่ฉันต้องการหรือไม่?

10 windows  active-directory  group-policy  bitlocker  tpm 

คุณพยายามจะทำอะไร? ฉันกำลังพยายามเปิดใช้งาน DNS ในการกำจัด DNS ในโซน DNS ที่มีระเบียน DNS เก่ากว่าร้อยรายการ คุณลองทำอะไรเพื่อให้มันเกิดขึ้น ฉันตั้งค่า DNS Scavenging ตามโพสต์บล็อก TechNet ที่ทุกคนชื่นชอบ: อย่ากลัว DNS Scavenging เพียงแค่อดทน ฉันปิดการใช้งานการกำจัดตัวควบคุมโดเมนของเราทั้งหมดก่อน: DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2 ฉันเปิดใช้งานการขับอัตโนมัติในโซน DNS: จากนั้นฉันเปิดใช้งาน DNS scavenging บนหนึ่งในตัวควบคุมโดเมน: จากนั้นฉันพบระเบียนบางอย่างที่ฉันคาดว่าจะได้รับการลบด้วย timstamps จากไม่กี่ปีที่ผ่านมาและทำให้มั่นใจว่าการตั้งค่าDelete this record when it becomes staleและการประทับเวลานั้นจริง: ในที่สุดฉันก็โหลดโซนอีกครั้งและรอ 14 วัน (ผลรวมของช่วงเวลารีเฟรช + ไม่มีการรีเฟรช) คุณคาดหวังผลลัพธ์อะไร …

10 windows  windows-server-2008  domain-name-system  active-directory 

เหตุใดตัวควบคุมโดเมนที่ลดระดับยังคงตรวจสอบผู้ใช้อยู่ เมื่อใดก็ตามที่ผู้ใช้เข้าสู่เวิร์กสเตชันด้วยบัญชีโดเมน DC ที่ลดระดับนี้จะตรวจสอบสิทธิ์พวกเขา บันทึกความปลอดภัยแสดงการเข้าสู่ระบบการออกจากระบบและการเข้าสู่ระบบพิเศษ บันทึกความปลอดภัยของ DCs ใหม่ของเราแสดงการเข้าสู่ระบบของเครื่องและการออกจากระบบ แต่ไม่มีอะไรเกี่ยวข้องกับผู้ใช้โดเมน พื้นหลัง server1 (Windows Server 2008): เพิ่งลดระดับ DC, ไฟล์เซิร์ฟเวอร์ server3 (Windows Server 2008 R2): DC ใหม่ server4 (Windows Server 2008 R2): DC ใหม่ ท่อน การรักษาความปลอดภัยเข้าสู่ระบบกิจกรรม: http://imgur.com/a/6cklL สองตัวอย่างเหตุการณ์จากเซิร์ฟเวอร์ 1 : Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on. Subject: Security ID: NULL …

10 windows-server-2008  active-directory  windows-server-2008-r2  domain-controller  kerberos 

ฉันมี 2 โดเมนแต่ละคนมี 2 ตัวควบคุมโดเมน: company.local ad.company.com.au ทั้งสองโดเมนอยู่ในฟอเรสต์เดียวกันและมีการตั้งค่าความน่าเชื่อถือแบบสองทิศทาง เรากำลังย้ายไปยังad.company.com.auที่อยู่ปัจจุบัน แต่มีปัญหาบางอย่างกับระบบที่จำเป็นต้องค้นหา LDAP เมื่อทำการค้นหา LDAP กับตัวควบคุมโดเมนทั้งในad.company.com.auเราได้รับการอ้างอิงcompany.com.auซึ่งไม่ได้อยู่ภายใต้การควบคุมโฆษณา: $ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "my.username@ad.company.com.au" -W Enter LDAP Password: # extended LDIF # # LDAPv3 # base <DC=company,DC=com,DC=au> with scope subtree # filter: (objectclass=*) # requesting: ALL # with manageDSAit control # …

10 active-directory  windows-server-2008-r2  ldap  domain-controller 

ฉันเป็นผู้ดูแลระบบที่สอนด้วยตนเองของเครือข่าย Active Directory ที่ใช้สำหรับการเข้าสู่ระบบ Windows บนพีซีประมาณ 30 เครื่อง ฉันได้รับมรดกระบบจากคนอื่นที่ไม่มีการฝึกอบรมโดยตรงจาก Microsoft และด้วยเหตุนี้ฉันจึงตกอยู่ในความมืดในบางสิ่ง เครือข่ายเองมีเครื่อง Windows Server 2008 R2 เครื่องเดียวซึ่งทำหน้าที่เป็นตัวควบคุมโดเมน, DNS, การแชร์ไฟล์และอื่น ๆ การเข้าสู่ระบบทำงานได้ดี แต่ฉันถูก poking รายชื่อผู้ใช้ในขณะที่ปิดการใช้งานบัญชีเก่าและฉันสังเกตเห็นบางสิ่งที่ฉันไม่เข้าใจ . นี่คือตัวอย่างบัญชีผู้ใช้สองสามบัญชี: ชื่อเข้าสู่ระบบ: john ชื่อ: John นามสกุล: Smith ชื่อที่แสดง: John Smith ชื่อที่เป็นที่ยอมรับของวัตถุ: domain.com/Users/john ชื่อเข้าสู่ระบบ: bob ชื่อจริง: Bob นามสกุล: French ชื่อที่แสดง: Bob French ชื่อวัตถุของ Canonical: domain.com/Users/Bob French …

10 windows-server-2003  active-directory  windows-server-2008-r2 

ด้วยเหตุผลที่นอกเหนือการควบคุมของฉันฉันได้รับมอบหมายให้ตั้งค่า GPO / GPP เพื่อปรับใช้เครื่องพิมพ์ 100+ เครื่องของเรากับลูกค้ากว่า 1,000 ราย ข่าวดีคือเรามีไซต์มากกว่าโหลไซต์และส่วนใหญ่ฉันได้รับอนุญาตให้ส่งเครื่องพิมพ์ทั้งหมดที่ไซต์ X ไปยังพีซีไคลเอ็นต์ทั้งหมดที่ไซต์ X ข่าวร้ายคือทั้งสองวิธีที่ฉันรู้วิธีการทำ ( "ปรับใช้กับนโยบายกลุ่ม ... " จากเซิร์ฟเวอร์การพิมพ์ "และการใช้การตั้งค่านโยบาย GPP / กลุ่ม ) เกี่ยวข้องกับการทำงานด้วยตนเองมากกว่าที่ฉันเต็มใจ เครื่องพิมพ์จำนวนมากนี้ฉันไม่สามารถเลือกเครื่องพิมพ์ทั้งหมดในเซิร์ฟเวอร์การพิมพ์และใช้Deploy with Group Policy...ตัวเลือกได้ - คาดว่าฉันจะทำทีละตัวซึ่งจะไม่เกิดขึ้น GPPs ยิ่งแย่ลงไปอีก ตามที่คาดหวังให้ฉันเลือกเส้นทางของเครื่องพิมพ์จากเซิร์ฟเวอร์การพิมพ์จากนั้นต่อยเจาะข้อมูลจำนวนมาก (เช่น IP ของเครื่องพิมพ์) ด้วยตนเองว่าควรจะได้รับจากการเชื่อมต่อเครื่องพิมพ์ Google-Fu ของฉันสำหรับสคริปต์เพื่อเพิ่มเครื่องพิมพ์ทั้งหมดบนเซิร์ฟเวอร์การพิมพ์ไปยัง GPO / GPP ว่างเปล่าและฉันไม่สามารถมองเห็นวิธีอื่นในการทำเช่นนี้แม้จะเป็นแบบกึ่งอัตโนมัติ แต่ฉันก็ติดอยู่ ด้วยความเชื่อที่ว่าฉันขาดอะไรไปเพราะไม่มีคนที่มีเหตุผลจะเลือกที่จะเพิ่มเครื่องพิมพ์หลายร้อยเครื่องเข้าใน GPO ด้วยตนเอง เป็นการดีที่ฉันต้องการค้นหาวิธีการใช้โปรแกรมแบบ GPPs …

10 active-directory  scripting  network-printer  group-policy 

ฉันมีกลุ่มโฆษณาสองกลุ่มที่สร้างขึ้นผิดพลาดในขณะที่ควรมีกลุ่มเดียวเท่านั้น พวกเขามีผู้ใช้เดียวกันแน่นอน อย่างไรก็ตามกลุ่มเหล่านี้ได้รับการกำหนดสิทธิ์ต่าง ๆ เกี่ยวกับทรัพยากร variuos (เช่นการแชร์ไฟล์) และฉันไม่สามารถติดตามพวกเขาทั้งหมดและรีเซ็ตพวกเขาให้อ้างถึงกลุ่มเดียวเท่านั้น ฉันสามารถ "รวม" ทั้งสองกลุ่มได้ไหมหากฉันลบกลุ่มใดกลุ่มหนึ่งและนำ SID ของมันไปไว้ในประวัติ SID ของอีกกลุ่มหนึ่ง สิ่งนี้จะช่วยให้สมาชิกของกลุ่มที่เหลือสามารถเข้าถึงทรัพยากรเหล่านั้นที่ได้รับอนุญาตให้ลบกลุ่มได้หรือไม่ ปรับปรุง: ดูเหมือนว่าไม่มีวิธีง่ายๆในการเพิ่ม SID ให้กับประวัติ SID ของผู้ใช้หรือกลุ่ม อย่างน้อยทั้ง ADUC และ ADSIEdit ไม่สามารถทำได้ หากกลเม็ดที่อธิบายไว้ข้างต้นใช้งานได้จริงจะสามารถทำได้อย่างไร

10 active-directory  access-control-list  groups  sid 

ฉันต้องสร้างห้องปฏิบัติการ Active Directory ที่มีเครื่องพิมพ์และทดสอบฟังก์ชั่นที่เกี่ยวข้องกับเครื่องพิมพ์ต่างๆ (การเพิ่มเครื่องพิมพ์ใน AD ลูกค้าที่เชื่อมต่อกับเครื่องพิมพ์เครื่องพิมพ์ ฯลฯ ) มีวิธีที่ดีในการจำลองเครื่องพิมพ์อย่างถูกต้องในเครือข่ายหรือไม่? หรือไม่จำเป็นต้องมีเครื่องพิมพ์จริงจริงบางที่แนบในที่สุดแม้ว่าจะไม่มีผลลัพธ์ออกมา คุณจะแก้ปัญหานี้อย่างไร

10 windows  active-directory  network-printer 

ฉันมีการตั้งค่า Active Directory ซึ่งประกอบด้วยฟอเรสต์ 2 อัน: 1 ฟอเรสต์หลายโดเมนที่มีโดเมนรูทฟอเรสต์ 1 โดเมนและโดเมนย่อยโดยตรง 2 โดเมน 1 ฟอเรสต์โดเมนเดียวสำหรับวัตถุประสงค์การเผยแพร่ DMZ ฉันได้สร้างความไว้วางใจขาออก 3 รายการในโดเมน DMZ, ฟอเรสต์ฟอเรสต์ที่เชื่อถือได้ 1 รายการต่อโดเมนรูทฟอเรสต์และการเชื่อใจที่ไม่ใช่การส่งผ่านข้อมูลภายนอก 2 รายการ (aka. Shortcut Trusts) DC ทั้งหมดในโดเมนทั้งสี่นั้นเป็นเซิร์ฟเวอร์ Global Catalog ฉันพยายามที่จะเห็นภาพด้านล่าง: ตอนนี้นี่คือปัญหา เมื่อฉันให้สิทธิ์การเข้าถึงทรัพยากรในdmzRoot.tldกลุ่มความปลอดภัยในchildAโดเมนจะทำงานสำหรับผู้ใช้childAที่เป็นสมาชิกของกลุ่มความปลอดภัย แต่ไม่ใช่สำหรับผู้ใช้ในchildBโดเมนแม้ว่าจะเป็นสมาชิกของกลุ่มความปลอดภัยchildAก็ตาม สมมติว่าฉันต้องการให้สิทธิ์ผู้ดูแลระบบภายในแก่เซิร์ฟเวอร์สมาชิกในdmzRoot.tldตัวอย่าง ฉันเพิ่มchildA.ForestRoot.tld\dmzAdministratorsกลุ่มผู้ดูแลระบบภายในเครื่องบนเซิร์ฟเวอร์สมาชิก childA.ForestRoot.tld\dmzAdministrators มีสมาชิกต่อไปนี้: childâ \ dmzAdmin childB \ superuser ตอนนี้ถ้าผมรับรองความถูกต้องเป็นchildA\dmzAdminฉันสามารถเข้าสู่ระบบเซิร์ฟเวอร์สมาชิกเป็นผู้ดูแลท้องถิ่นและถ้าผมจะดูที่ผลลัพธ์จากการwhoami /groupsที่childA.ForestRoot.tld\dmzAdministratorsกลุ่มที่มีการระบุไว้อย่างชัดเจน ถ้าฉันรับรองว่าเป็นchildB\superUserอย่างไรก็ตามฉันได้รับข้อความว่าบัญชีไม่ได้รับอนุญาตสำหรับการเข้าสู่ระบบระยะไกล ถ้าฉันจะตรวจสอบwhoami /groupsสำหรับchildB\superUserบัญชีที่childA.ForestRoot.tld\dmzAdministratorsกลุ่มไม่ได้แสดงอยู่ …

10 active-directory  windows-server-2008-r2  authentication 

ฉันมีเว็บแอปพลิเคชัน (ชื่อโฮสต์: service.domain.com) และฉันต้องการใช้การพิสูจน์ตัวตน Kerberos เพื่อระบุผู้ใช้ที่เข้าสู่ระบบโดเมน Windows Microsoft AD (Windows Server 2008 R2) กำลังให้บริการ Kerberos บริการนี้เป็นเว็บแอปพลิเคชัน Java ที่ใช้ไลบรารีส่วนขยาย Spring Security Kerberos เพื่อใช้โปรโตคอล SPNEGO / Kerberos ฉันได้สร้างไฟล์ keytab ใน AD ที่มีความลับที่ใช้ร่วมกันซึ่งน่าจะเพียงพอในการรับรองตั๋ว Kerberos ที่เบราว์เซอร์ไคลเอนต์ส่งมาโดยใช้เว็บแอปพลิเคชัน คำถามของฉันคือ service host (service.domain.com) จำเป็นต้องมีการเข้าถึงไฟร์วอลล์ (TCP / UDP 88) ถึง KDC (kdc.domain.com) หรือเป็นไฟล์ keytab ที่เพียงพอสำหรับโฮสต์บริการเพื่อให้สามารถถอดรหัส ตั๋ว Kerberos และให้การรับรองความถูกต้อง?

10 active-directory  firewall  kerberos  springframework 

มีบทความ TechNet มากมายเช่นนี้ที่บอกว่าออบเจ็กต์แฟนทอมไม่ได้รับการอัปเดตหาก Infrastructure Master เป็น Global Catalog แต่นอกเหนือจากนั้นยังไม่มีข้อมูลเชิงลึกเกี่ยวกับสิ่งที่เกิดขึ้นจริงในเรื่องนี้ องค์ประกอบ ลองนึกภาพการกำหนดค่าเช่นนี้: |--------------| | example.com | | | | dedicated IM | |--------------| | | | |-------------------| | child.example.com | | | | IM on a GC | |-------------------| ตำแหน่งที่childมี DC สองแห่งที่มีทั้งแคตตาล็อกส่วนกลางหมายความว่าบทบาทต้นแบบโครงสร้างพื้นฐานอยู่ใน GC และexampleมี DC สามตัวที่มีบทบาทของ Infrastructure Master ใน DC ที่ไม่ใช่ …

10 windows  active-directory  domain-controller 

ฉันมี GPO ที่ฉันต้องการนำไปใช้กับผู้ใช้DOMAIN\DumbGuyแต่เฉพาะเมื่อเขาเข้าสู่DOMAIN\DumbGuysComputer$ระบบ เมื่อDOMAIN\NiceReceptionistเข้าสู่ระบบDOMAIN\DumbGuysComputer$มันไม่ควรใช้ เมื่อDOMAIN\DumbGuyเข้าสู่ระบบDOMAIN\ReceptionstsComputer$มันไม่ควรใช้ มันต้องใช้เฉพาะเพียงเพื่อคนคนหนึ่งบนคอมพิวเตอร์เครื่องหนึ่ง ถ้าฉันใช้วัตถุนโยบายกลุ่มกับวัตถุผู้ใช้วัตถุนั้นจะมีผลกับคอมพิวเตอร์ทุกเครื่องของเขา ถ้าฉันใช้ GPO กับวัตถุคอมพิวเตอร์วัตถุนั้นจะนำไปใช้กับผู้ใช้ทุกคนในคอมพิวเตอร์เครื่องนั้น หากฉันนำไปใช้กับทั้งสองอย่างมันก็จะยิ่งกว้างขึ้น ฉันจะใช้ GPO กับผู้ใช้เพียงคนเดียวในคอมพิวเตอร์เครื่องเดียวได้อย่างไร

10 active-directory  group-policy 

ฉันเชื่อว่าถูกต้องที่จะบอกว่าผู้ใช้และคอมพิวเตอร์ได้รับการปฏิบัติในฐานะผู้ดูแลที่เท่าเทียมกับ Active Directory ทั้งผู้ใช้และคอมพิวเตอร์มีรหัสผ่านและทั้งผู้ใช้และคอมพิวเตอร์จะต้องเข้าสู่ระบบโดเมนอย่างอิสระ ฉันเข้าใจว่าบริการ NetLogon ซึ่งเริ่มต้นโดยอัตโนมัติมีหน้าที่รับผิดชอบในการบันทึกคอมพิวเตอร์ลงในโดเมนเมื่อเริ่มต้น ในเวลานั้น NetLogon ใช้ตรรกะควบคุมโดเมนระบุตำแหน่งบางอย่างผ่านการค้นหา DNS เพื่อช่วยให้มันค้นหาตัวควบคุมโดเมน หากคอมพิวเตอร์ได้เข้าสู่ระบบโดเมนมาก่อนแล้วและรู้ว่ามันอยู่ในเว็บไซต์ใดมันสามารถเริ่มต้นด้วยการสอบถาม DNS เฉพาะไซต์เพื่อค้นหา DC ซึ่งล้มเหลวในการกลับไปสู่โดเมนทั่วไปหากมี โปรดแก้ไขฉันหากฉันผิดในข้อสันนิษฐานใด ๆ ของฉัน ผู้ใช้เมื่อเข้าสู่ระบบคอมพิวเตอร์จึงมีกระบวนการระบุตำแหน่ง DC แยกต่างหากเมื่อเขา / เธอเข้าสู่ระบบคอมพิวเตอร์? หรือผู้ใช้ใช้คอมพิวเตอร์ที่ใช้งานคอมพิวเตอร์เครื่องนั้นเมื่อเข้าสู่ระบบหรือไม่? เป็นไปได้ไหมที่คอมพิวเตอร์และผู้ใช้ล็อกออนเข้าสู่คอมพิวเตอร์เครื่องนั้นเพื่อตรวจสอบ DC ที่แตกต่างกัน

10 active-directory