Soru Oturum açma ekranında güvenilir bir etki alanı nasıl gizlenir?


İki Active Directory etki alanı arasında iki yönlü bir güven oluşturmam gerekiyor. Ancak yönetim, kullanıcıların Windows oturum açma ekranında (birçoğu Windows XP kullanıyor) açılan listede başka bir etki alanı adı görürken şaşırtılmasından endişe duyuyor ve bu yardım masası yanlış etki alanı seçmiş olması nedeniyle başarısız girişleri çağırıyor. Skyrocket olacak. Ayrıca, iki alan adı oldukça olasıdır ve olası kullanıcı karışıklığına katkıda bulunur.

Windows oturum açma ekranında açılan bir listeden güvenilir bir etki alanı gizlemenin bir yolu var mı?


5
2017-10-04 07:00


Menşei




Cevaplar:


Doğru yol:

Var, evet (tür), ama size bunu bildiğim şekilde söyleyemeden önce, tavsiye edeyim Bu konuya daha güvenli bir yaklaşım, kullanıcılar üzerinde bir varsayılan alanı zorlamak için grup politikasını kullanmaktır. - varsayılan olarak, dikte ettiğiniz alana giriş yaparlar ve alan açılır listesinden endişelenmenize gerek yoktur.


"Etki Alanı Listesini Devre Dışı Bırak" yolu:

Her neyse, kullanıcılara tam UPN (kullanıcı asıl adı) kullanmaları için zorlayan aşağı açılan listeyi kaldırmak için:

  1. Şu yöne rotayı ayarla HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  2. Yeni bir tane oluştur DWORD arasında NoDomainUI
  3. Bunun değerini ayarla DWORD için 1
  4. Makineyi yeniden başlatın.

Oturum açma ekranı, makine açıldığında artık bir açılır alan listesi göstermeyecek ve kullanıcıların oturum açmak için tam UPN'ye girmeleri gerekecektir.

Açıkçası, bu sadece bir kayıt defteri değişikliği olduğundan, GPO veya GPP tarafından manuel olarak yapmak yerine tüm makinelerinize itebilirsiniz.


Tüm Alan Adlarını Gizlemek için Bir Dokümanlandırılmış Hata Kullanmak:

DÜZENLEME: @ Massimo'nun daha açık gereksinimlere sahip yorumuyla yanıt olarak, Bu Technet parçasını buldum, öneren bir geçici çözüm olarak bu KB'deki hata.

Temel olarak, Netlogon.ftl dosya tarafından açılacak uygun izinlere sahip değil winlogon işlem, güvenilen alanların listesi görüntülenemez ve yalnızca makinenin / kullanıcının görüntülenmekte olduğu alana neden olur.

Hızlı bir teste dayanarak, bu bir XP istemcisindeki (hepsi dizüstü bilgisayarımdaki laboratuar ortamında sanallaştırılmış) bir 2003 FL ormanında çalışmaktadır. Şu anda daha kapsamlı bir test yapamıyorum, ancak başka birinin daha yeni OS'lerde veya farklı ortamlarda çalışıp çalışmadığını bildirip yorumlayamayacağını merak ediyorum.

Bunun gibi bir hatayı kullanmak, şimdiye kadar yaptığım en iğrenç şey olmalı ve diğer çevrelerde bu ücretlerin nasıl olduğunu duymak için çok meraklıyım.


7
2017-10-04 08:08



Artı daha güvenli GPO seçeneği. - Jake Andrew
Bahşişler için teşekkürler, ancak her iki çözüm de bu ortama uygun değil: konuştuğunuz GPO ayarı sadece Vista'dan itibaren çalışıyor (bu bile değil. var Bu aşağı açılan liste ...), XP istemcileri için sorunu çözmez; Kullanıcıları kendi kullanıcı isimleri yerine UPN kullanmaya zorlamak, onları daha da karıştırırdı. - Massimo
@Massimo Yaptığım düzenlemeye göz atın ve bu hatanın sizin için bir geçici çözüm olarak işe yarayıp yaramayacağını görün ve bana haber verin, gerçekten merak ediyorum. - HopelessN00b
Whoa ... eğer işe yaradıysa bile, bu kesinlikle bir üretim ortamındaki hiçbir aklı sysadmin'in kullanacağı bir şey değildir (elbette ki bir aklın sysadmin'i gibi bir şey var). - Massimo
@Massimo Dediğin gibi, yine de aklı başında değil. Senin yerinde, bunu yönetim için uzun ve zor bir şekilde köleleştirebileceğim bir olasılık olarak öneririm (ve bu arada, bir hatayı nasıl bir özellik olarak kullanacağımı anladım) ve temelde Onlara bir karar vermek için para. (Ama bunun ne kadar parlak ve çalışkan olduğunu fark ettiler.) Her iki seçenek de ... ... yönetimin, hangi suck ile birlikteolduğuna karar vererek maaşlarını kazanmasını sağlayabilir. :) - HopelessN00b