Мне нужно создать двунаправленное доверие между двумя доменами Active Directory. Но руководство обеспокоено тем, что пользователи будут озадачены, увидев другое доменное имя в раскрывающемся списке на экране входа в Windows (многие из них используют Windows XP), и что служба поддержки обращается за неудачным входом из-за неправильного выбора домена. будет стремительно расти. Кроме того, два доменных имени очень похожи, что усугубляет возможную путаницу.
Есть ли способ скрыть доверенный домен из раскрывающегося списка на экране входа в Windows?
Есть, да (вроде), но прежде чем я расскажу вам, как я знаю, как это сделать, позвольте мне посоветовать более безопасный подход к этой проблеме - использовать групповую политику для принудительного использования домена по умолчанию для пользователей - поэтому по умолчанию они входят в домен, который вы укажете, и им не нужно беспокоиться о раскрывающемся списке домена.
В любом случае, чтобы удалить раскрывающийся список, который заставит пользователей использовать полное UPN (основное имя пользователя):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonDWORD из NoDomainUIDWORD к 1На экране входа в систему больше не будет отображаться раскрывающийся список доменов при загрузке машины, и пользователям необходимо будет вводить полное имя участника-пользователя для входа в систему.
Очевидно, поскольку это всего лишь изменение реестра, вы можете отправить его с помощью GPO или GPP на все свои машины вместо того, чтобы делать это вручную.
РЕДАКТИРОВАТЬ: в ответ на комментарий @ Massimo с более явными требованиями, Я нашел эту ветку Technet, что предполагает ошибка в этой КБ как обходной путь.
В основном в результате Netlogon.ftl файл не имеет необходимых разрешений для открытия winlogon список доверенных доменов не может быть отображен, в результате отображается только домен, которому принадлежит компьютер / пользователь.
Основываясь на быстром тесте, похоже, что это работает в лесу FL 2003 года на клиенте XP (все виртуализировано в лабораторной среде на моем ноутбуке). На данный момент я не могу провести более обширное тестирование, но было бы очень любопытно, если бы кто-то другой мог сообщить, работает ли это для новых ОС или в других средах.
Использование такой ошибки должно быть самым хакерским, что я когда-либо делал, и мне болезненно любопытно узнать, как это работает в других средах.