我有三个域控制器上安装活动目录分布在三个站点,通过永久VPN连接链接。 但是我注意到,在dns snapin中,只有其中的两个站点在我的站点的站点容器中列出。 我没有遇到任何问题,并且在Active Directory站点和服务中看起来都正确。 有谁知道这是否会导致这个网站的问题,如果是的话,是最安全的方法来纠正它。 澄清 – 我有3个活动目录域控制器是每个站点,都是dns服务器,在所有3台服务器上的事件日志中没有错误。 这个设置已经运行了好几个月,没有出现问题。 pipe理单元中的所有三个站点上的DNS都是相同的。
在Active Directory中还有其他方法来组织除了OU之外的组策略应用程序的计算机对象吗? 如何将一个策略只应用于许多不同的OU中的某些计算机? 我正在寻找类似于SCCM中的Collections隐喻的东西,一个计算机可以属于许多组。
语境: Windows Server 2003 x64: 在VMWare ESX 3上 域的成员 有作为主要的DNS服务器PDC,可以看到它(平等) 可以以本地pipe理员身份login时使用域中的凭据访问共享文件夹(甚至是PDC上的共享文件夹) 问题: 使用相同的域凭据login计算机使我得到一个无效的用户名/密码错误。 我不知道从哪里开始debugging。 任何线索? 更新: 我检查了PDC日志,我得到了 从计算机“VM”的会话设置失败,因为安全数据库不包含由指定的计算机引用的信任帐户“VM $”。 用户操作如果这是针对指定的计算机和帐户首次发生此事件,则可能是暂时性问题,此时不需要执行任何操作。 否则,可能会采取以下步骤来解决此问题: 如果“VM $”是计算机“VM”的合法机器帐户,则应将“VM”重新join域。 如果“VM $”是合法的域间信任帐户,则应该重新创build信任。 所以现在采取的行动是清楚的。 我不清楚的是这个原因,以及如何防止它的进一步发生。 更新2:是的,这是一个克隆,但我已经开始分离和重新join域。
我们的networking中有两个DC。 两者现在在2008 R2模式下工作。 我想删除那个先创build的那个。 只是把它关掉是否安全,还是我应该做点什么来促使副本DC成为主要的DC?
可能重复: 预先login的Windowslogin? 我发誓我以前在SF上看到过这个聪明的解决scheme,但是我的searchfunction在这个星期一很弱。 远程用户的驱动器已经失败,我需要给他一个新的。 如果我可以在发货之前让他的个人资料加载到这一端,那将是理想的select。 我想避免改变自己的密码来login自己,因为他的技术瘫痪了,他需要一个月的时间才能在黑莓手机上重置密码。 编辑他们不是漫游configuration文件。 我只想让他能够login到一个域帐户,以便在启动VPN后,他不必重新authentication每个系统。 我记得的唯一的巧妙的解决办法是让用户远程桌面来加载configuration文件,但他没有访问权限。
(常见)问题: 如何在工作组计算机上访问networking共享? 通常有(共同的)答案: 应该在所有交互(访问)的计算机上添加具有相同用户名和密码的本地帐户(“相同”) 不是所有的Windows都有公认的安全标识符的内置用户和组帐户吗? 这些内置帐户不能用于这个? 编辑1(稍后添加)域上下文: 假设我想从工作组计算机共享文件。 要么 (1)到工作组计算机。 或者 (2)join域计算机。 (1)和(2)之间是否有区别? 如果没有区别,那么最好避免将讨论/考虑偏离到域计算机。 Edit2(稍后添加)关于安全: 工作组计算机缺乏安全性。 添加帐户或不添加。 我没有看到添加帐户的安全增加的任何变化。 所以,问题是:为什么要添加帐户? Edit3(更多问题),8/4/2010: 好吧,我根本没有评论空间。 嗨,laurent-rpnet! 我不太明白“域中的所有机器只有一个域帐户”。 问题是关于在工作组计算机上共享文件,并从工作组计算机(也就是非join到域的计算机,只要他们在工作组中不能成为域的一部分)访问它们。 1)是否有可能与域(或LDAP或ADAM)帐户共享工作组(即未join到域)计算机中的文件? 2)是否有可能从工作组(非join域)计算机访问与域帐户权限文件共享(再次使用域帐户)? 我早些时候在其他论坛上提过,我理解这种可能性是消极/不可能的 Edit4,viii / 6/2010: 事实上,我不能给出超过1个答案,我真的更关心自己的理解+实用的方便,而不是向世界表明正确或错误(答案和态度)。 这应该是简单的系统pipe理员,有权访问资源(包括域pipe理),但我是开发人员,即contaxt是工作组(为了完全pipe理)+访问域(我没有访问pipe理)。 嗨,laurent-rpnet! 我也理解你的答案2)我的Edit3作为从工作组计算机到域帐户的文件/文件夹共享的可能性,通过在工作组计算机上创build用户名+密码与域用户重合的用户。 正确?
有没有可能像运行terminal服务的东西接pipe一台电脑,而其运行? 所以你可以帮助他们在做什么? 并预先形成一些帮助。 或者有更聪明的东西,还是我需要在所有的计算机上安装vnc?
我在Server 2003上有一个默认域策略,密码和复杂性检查至less需要8个字符。 现在我创build了一个新的OU,并将自己定位在该OU中的用户以及我的计算机中。 然后,我创build了一个新的组策略并将其链接到该OU。 新的GP有最低密码限制为6.我在服务器上运行gpupdate,我的电脑上运行gpresult确实显示了应用到计算机上的策略。 但是,当我尝试更改密码时,密码仍然需要8个最less字符。 我也检查了我的电脑的本地政策,这也改变了6个最小字符。 那么为什么我仍然被要求8?
正在移动某些AD对象,并意外地单击了“不要再显示此警告”对于移动AD对象… 我喜欢这个警告,因为这是确认我真的想要执行这个操作的最后一步。 任何人都知道如何重新启用警告? 找不到任何选项
所以,我做了一件非常愚蠢的事情(这是一个很长的故事),并且意外地开始在我的一个域控制器上卸载DNS。 幸运的是,我的Active Directory似乎正常运行,卸载似乎是等待完成,直到重新启动。 有关DC的DNSpipe理器控制台仍处于活动状态。 我只有一个条件转发器configuration和一些正向我的AD域的正向查找区域。 这些全部仍然出现在控制台中,并且在查询时全部解决。 %DC上的SYSTEMROOT%\ system32 \ dns不包含特定于我的域的任何.dns文件,而我的其他DC上的“mydomain'.dns”文件不包含任何这些外部正向查找区域 – 也其他DC的DNSpipe理控制台也包含我所有的区域。 因此,所有这些信息似乎都存储在活动目录(全部为集成区域)而不是.dns文件,因此情况并不是那么糟糕。 它是否正确? 另外,有什么我可能需要注意当重新启动服务器和重新安装DNS(其他可能不得不重新configuration我的条件转发)?