很重要的:在你的活动目录环境上执行这项策略能带来损失惨重的影响。在将它运用到你的生产域上之前,切记要对执行这项策略作彻底的测试。
按照下面的步骤,一步步的去做防止DNS的SRV记录注册的设置:
创建一个指定的组织单位(OU)。创建一个脱离了域控制器组织单位的子组织单位,并确认在这个新的组织单位中放置的域控制器是没有注册确定的SRV记录。
为这个组织单位创建一个名为“约束证明” 单独的组策略:
a. 找到计算机设置→管理模板→系统→NetLogon服务→DC位置DNS记录。
b.选择“域控制器位置DNS记录不能通过域控制器注册”设置,并且点击“可以”按钮。这些设置允许你去指定哪一个SRV记录不是通过NetLogon服务注册的,就像下面图1中显示的那样。
c.在助记键部分中,你要列出那些没有被注册的记录。所有记录的描述在说明标签中被显示出来。注意图1中显示,你输入的每一个SRV记录在助记件部分是被约束的。这些记录在空页码:[1] [2] [3] [4] [5] 第3页、共5页 |
