Исключение поддомена DNS через VPN
Я размещаю репозиторий Munki на нашем локальном сервере для развертывания программного обеспечения. Он доступен внутри поддомена. Поскольку сейчас все работают из дома, я хотел бы зеркально отразить репо на веб-сервере (для более быстрого подключения) и разрешить поддомен публичным DNS. В то же время, я бы хотел сохранить DNS через VPN для других внутренних служб. Что является наилучшей практикой для достижения этой цели? Спасибо!
Вот пример: я дома, подключен к офисной сети через VPN. Я хочу получить доступ к ресурсу «munki.mydomain.com.» Поскольку VPN настроена на использование DNS-сервера в офисной сети, он будет запрашивать этот сервер, и этот сервер будет разрешать «munki.mydomain.com» в любой IP-адрес, настроенный там. Нет пути я верну публичный IP, верно? Но это именно то, что мне бы хотелось!
-121--304645-Я уверен, что есть более простой способ, чтобы то, что я заклинило рукой....
Я пытаюсь написать и запустить сценарий PowerShell, который установит флаг ProtectStartСлучайное Удаление «true» рекурсивно для всех OU, объектов, sub-OU и их объектов. В основном, я хочу, чтобы каждая «вещь» и каждый «контейнер вещей» в пределах данного ОУ были защищены от случайного удаления (и все это влечет за собой), но сценарий, который я разрабатывал, все еще заставляет меня писать отдельную строку для каждого ОУ, каждого под-ОУ, каждого объекта ОУ и т.д. Сценарий теперь в десятки строк, и я чувствую, что побеждаю цель экономии времени, вообще написав сценарий.
Я использовал следующую схему для OU:
Get-ADOrganizationalUnit -Filter * -SearchBase “ou=OU,ou=rootOU,dc=domain,dc=com” | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $true
и эту схему для объектов:
Get-ADobject -Filter * -SearchBase “ou=OU,ou=rootOU,dc=aemea,dc=kao,dc=com” | Set-ADobject -ProtectedFromAccidentalDeletion $true
Они прекрасно работают для конкретного OU или объектов, на которые я нацелен, но я хочу установить это значение для каждого объекта и OU под целевым объектом OU I.
Заранее спасибо за советы и помощь, ребята!
- Кажется, перебор; возможно, уже потратил на это слишком много времени
- Я думаю, что это плохая идея
- Корзина AD существует для быстрого восстановления удаленных объектов.
- Я думаю, что, вероятно, была какая-то логика в том, чтобы не использовать это значение по умолчанию для всех объектов - а только для контейнерных объектов.
Попробуйте фильтр LDAP; включите все другие нужные вам объектные классы.
Get-ADObject -LDAPFilter '(|(objectClass=organizationalUnit)(objectClass=User)(objectClass=Computer))'
Или вы можете сходить с ума:
Get-ADObject -LDAPFilter '(objectClass=*)'
Я бы не стал этого делать - неизвестные последствия изменения ACL для каждого объекта в AD (что, по сути, и есть «защита от удаления»)