Не решено Авторизация пользователей на своем контроллере домена

V

vlsdtv

Почетный гость
Доброго всем дня!
Есть домен на windows 2016, так же есть несколько контроллеров домена только для чтения по разным городам.

Как заставить пользователей конкретного города авторизоваться на своем КД, своего города?
Сейчас, если посмотреть по команде set - я вижу, что пользователь к примеру из Новосибирска авторизуется в МСК
 
А разве так не должно быть ?

Особенности контроллера домена RODC​

Основные отличия RODC от обычных контроллером домена, доступных для записи (RWDC)

  • Контроллер домена RODC хранит копию базы AD, доступную только для чтения. Соответственно, клиенты такого контролера домена не могут вносить в нее изменения.
  • RODC не реплицирцирует данные AD и папку SYSVOL на другие контроллеры домена (RWDC).
  • Контроллер RODC хранит полную копию базы AD, за исключением хэшей паролей объектов AD и других атрибутов, содержащих чувствительную информацию. Этот набор атрибутов называется Filtered Attribute Set (FAS). Сюда относятся такие атрибуты, как ms-PKI-AccountCredentials, ms-FVE-RecoveryPassword, ms-PKI-DPAPIMasterKeys и т.д. В случае необходимости в этот набор можно добавить и другие атрибуты, например при использовании LAPS, в него следует добавить атрибут ms-MCS-AdmPwd.
  • При получении контроллером RODC запроса на аутентификацию от пользователя, он перенаправляет этот запрос на RWDC контроллер.
  • Контроллер RODC может кэшировать учетные данные некоторых пользователей (это ускоряет скорость авторизации и позволяет пользователям авторизоваться на контроллере домена, даже при отсутствии связи с полноценным DC).
  • На контроллеры домена RODC можно давать административный доступ обычным пользователям (например, техническому специалисту филиала)
via
 
Нет, не должно
А вы представьте, что пропадет связь с головным КД. Пользователь не сможет работать, так как он не может авторизоваться у себя на КД и головной КД не доступен
 
кэширование паролей надо включить
 
А они являются серверами глобального каталога ?
 
Хм. Попробуйте создать группу для каждого филиала, затем создайте политику разрешающую кэшировать пароли на конкретный rodc филиала
 
Apossum сказал(а):
Хм. Попробуйте создать группу для каждого филиала, затем создайте политику разрешающую кэшировать пароли на конкретный rodc филиала
Нажмите, чтобы раскрыть...
Ну я так и сделал - у меня есть группа (скриншот в сообщении №5, верхняя позиция)
 
Для ответа нужно войти/зарегистрироваться
Назад
Верх