我有一组嵌套的AD组: group subgroup1 subsubgroup1a subsubgroup2b subgroup2 subsubgroup2a userXY subsubgroup2b 我正在使用“组”来授予对服务器的访问权限。 现在我想知道为什么我的“userXY”有权访问服务器。 如何使用PowerShell来发现用户是“subsubgroup2a”的成员?
我出来升级我们的2003年Windows服务器到2012年的Windows服务器。 从我读到的,我将使用DCPROMO推动2012年的服务器接pipe2003年的服务器主angular色。 问题: 1–鉴于AD森林被设置为2003森林,我可以根据需要在2003和2012服务器机器之间前后切换主angular色吗? 2 – 如果一个具有主angular色的服务器应该失败,我可以告诉其他服务器接pipe该angular色吗? 怎么样? 3 – 如果具有该主angular色的其他服务器发生故障或脱机,服务器是否会自动接pipe主angular色?
我有一个相当复杂的设置,我对Active Directory很新。 我想要configuration组策略环回处理,以便:某些用户(在不同OU中),在某些计算机上(无论是在OU还是在安全组中)都可以有一些不同的用户策略。 我认为我想做一个合并回送,因为我想保留大部分的用户configuration并重写其他的,但是在实现时遇到了麻烦。 到目前为止,在我的testing环境中,这是我的设置不工作(我正在testing桌面快捷方式): 计算机1与其中的计算机1称为计算机1。 一个名为Managed Users的安全组。 连接到OU计算机1的GPO,具有针对托pipe用户组的安全筛选。 此GPO在合并模式下具有环回处理,并且在用户configuration中有一个控制面板的快捷方式。 pipe理用户安全筛选的全域性GPO。 它为AppWiz增加了一个快捷方式。 目前,当用户在Managed Users中login时,只会出现控制面板的快捷方式,这意味着我的环回策略出了问题。 任何帮助将不胜感激。 谢谢。 此外,将来我将最有可能有两个策略为计算机OU,已经在那里,然后另一个适用于不在托pipe用户组的用户。
在我们的(小)组织中,我们使用Google Apps(也称为Gmail for Business)作为电子邮件服务。 我们发现Thunderbird是Google Apps的一个好客户,希望继续使用它。 现在,我们即将安装新的Windows 10电脑。 他们会预先安装Thunderbird,但没有设置。 我们的用户真的不是技术高超的人,所以我想尽可能的让他们更容易。 目标是用户可以坐在他的电脑上,打开雷鸟,他会被问到的是他的电子邮件地址和密码,甚至更好的只是他的密码,所有其他信息应该已经存在。 此外,该configuration文件应该基于networking,以便他可以轻松地切换到另一台电脑,而无需再次这样做。 你将如何以最有效的方式实现这一目标? 我在网上发现了一些关于如何使用autoconfig为用户提供邮件服务器信息的信息,但这对我来说远远不够。 一些额外的信息: 对于所有用户来说,IMAP / SMTP服务器地址自然是相同的 用于电子邮件检索(IMAP)以及传输(SMTP)的凭据相同, 电子邮件地址都有相同的模式,[email protected]。 名字和姓氏存储在Active Directory中。 (这真的只是一个奖金,我可以手动input地址)。
几个月前,我们转换为AD环境。 从我的家庭办公室,我有一个Win10笔记本电脑,我很难join到我们的域名(不得不在我的本地局域网设置AD DNS服务器),而我的Win7桌面(从来没有做过任何特别的事情),但设法join和在我开始使用本地帐户的VPN后,可以login为我的域名。 后来,我可以login,就像我的域名自己没有VPN运行,因为我大概使用caching信用。 Win7没有这个问题。 而我的笔记本电脑OpenVPNnetworking最初显示为公共和我使用PS set-netconnectionprofile是私人的(不能设置DomainAuthenticated),但这是没有帮助的。 在Win10机器上(如在桌面上),我有SecurePoint OpenVPN连接到我们所有AD网站的一切正常。 我可以ping 3个域控制器,我可以在_LDAP._TCP.DC._MSDCS.ad.mydomain.com上执行nslookup,find我所有的3个DC,我可以使用不合格的机器名称ping所有的域计算机。 我似乎可以做任何事情,除了 – login时不得不使用我的域名后缀([email protected]不只是用户)。 不必在我的其他机器上这样做。 gpupdate失败,说它无法连接到域控制器。 任何想法为什么gpupdate失败? 我在事件日志中看不到任何有用的信息,使用相同networking的Win7桌面在域访问方面运行良好。 我怀疑Win10和/或在Win10上的SecurePoint OpenVPN,但大多数一切正常。 这个“可能”与适配器绑定顺序有关。 我无法像在Win7中那样更改Win10中适配器的绑定顺序(请参阅http://answers.microsoft.com/en-us/windows/forum/windows_10-networking/adapter-priority-setting-unavailable-in -windows-10 / d2b63caa-e77c-4b46-88b5-eeeaee00c306?auth = 1 )的问题描述。
为中小型企业设置一个新的域,Win server 2012R2。 我已经设置了服务器,configuration了AD DNS等,应用了几个组策略来testingAD是否正在工作,并且testing机器(Win 7和8.1,都是干净安装)都不能获得计算机或用户策略。 计算机都可以通过DNS和IP连接看到服务器,我可以login到任何testing(pipe理员和用户)帐户,我可以浏览服务器上的共享。 运行Gpupdate / force指示我查看事件日志,并从组策略中获取事件ID 1030,错误代码为58 指定的服务器无法执行请求的操作。 我有一个有趣的感觉,我已经错过了在这里明显的东西,但我的谷歌傅似乎是在让我失望。
我有一个Win 2012服务器(域控制器)和Win 10 Pro客户端机器在家里为父母和孩子。 我想build立一个使用活动目录和可能的组策略的家庭networking。 但是,在Windows 10中,他们也具有Child(微软)帐户这样的function,这对于执行屏幕时间和浏览器控制来说听起来很棒。 但是,我可以将这些基于Microsoft帐户的家长控制与旧式的域用户帐户一起使用吗? (或者也许在Windows 2012 Server中有类似的东西可以代替父母pipe理的目的吗?如果是这样,是什么?)同样,我在Windows 10 Pro中看到可以连接到工作或学校帐户,所以我不知道是否应该甚至连客户端电脑到域控制器呢? 我可以使用“工作”帐户连接到我的主域文件共享,故意不join到域控制器的客户端? 以上只是我脑海中浮现的问题。 底线的问题是,如何为家庭中的Windows 10 Pro客户机设置2012年服务器,需要文件共享,共享networking打印机以及理想情况下的一些家长式控制(即使未命名)?
我正在考虑创build一个应用程序,该应用程序必须跟踪仅发生在组织单元(例如:“A”OU的成员的用户帐户已被删除)的用户帐户的一些更改。 我已经阅读了一些事情:订阅事件日志中的事件,但似乎在这种情况下,我会收到有关已被删除的每个用户帐户的信息,例如。 使用这种方法,似乎我将不得不检查该用户是否是我的OU的一部分。 我想到的另一个方法是使用“轮询使用DirSync进行更改”。 看起来,这种技术使用searchfilter,但在这种情况下,我不能推荐更改通知只为来自特定OU的用户。 所以,我想为特定types的用户创build一些自定义searchfilter(例如:禁用的用户帐户),但即便如此,我也必须检查特定OU的用户的来源。 (在我看来,效率低下) 现在,真正的问题来了: 我如何才能跟踪AD中的更改,仅针对特定的一组用户帐户? 你会推荐我在这种情况下使用什么 [编辑1] 我知道我可以使用USNChanged属性,但是,如果我计划使用已删除的对象,并且如果我跟踪发生在OU中的某些更改,那么效率会不会很低?
我是一个企业pipe理员(高级networking工程师),但我的团队不pipe理Active Directory,所以我有点不熟悉政策,做什么,我试图实现什么,甚至是ADpipe理员都失败了谈到我的困境。 我有一个命令,我试图把它变成一个脚本,给我一些非常奇怪的行为,我需要帮助整理出来。 首先要做的事情 从我的本地工作站,我可以通过按住Shift并单击并以我的域pipe理员用户身份运行来打开命令窗口,该命令正常工作。 从我的本地工作站,如果我把这个命令放在一个脚本中,并按住Shift键点击运行脚本作为我的域pipe理员用户,脚本/命令工作正常(只要我给我的域pipe理员帐户权限)。 在我希望这个脚本运行的目标机器上,我已经确认另一个域pipe理员可以成功执行该命令。 如果我使用域pipe理员帐户login时在此目标计算机上启动命令提示符,则该命令将失败(也可能是脚本)。 在你提出一些我已经尝试或者不会使我受益的事情之前, runas不是一个选项,因为这个脚本不应该是交互式的,并提示input密码。 由于密码/安全/审计策略, run as的/savecred参数不是一个选项。 我已经实现了基本function,但是很麻烦: 基本的命令是这样的: \\server\share\unlock.exe . username 我可以成功地执行这个命令,而没有任何按住Shift或点击运行的废话的唯一方法是把这个命令放在C:\Users\Username\Desktop\unlock.bat ,然后从我的本地机器创build一个单独的batch file,其中包括以下: psexec \\targetmachine -u domainadmin -p domainpassword "C:\Users\Username\Desktop\unlock.bat" 问题和可能的理论: 如果双击目标机器上的这个batch file,它是否应该不作为我login的域pipe理员帐户的用户名运行? 是否有可能,因为我的域pipe理员是目标机器上的pipe理员,当我运行这个命令时,它试图以本地pipe理员身份运行? 每次我在这台机器上打开一个命令提示符时,它都会自动成为pipe理提示符。 有可能我需要的是一个未升级的提示符,如果是的话,当它自动启动pipe理员提示符时,如何得到一个提示符? 其他细节 : 这是一个运行Windows 2008 R2的terminal服务器,有几个不同的用户访问它,所以我不想修改cmd.exe每次或任何时候启动的行为。 我意识到我可以指定一个用户,如果我作为一个计划任务运行这个,但现在,我只想从这个服务器运行它作为一个独立的脚本或命令没有任何按住Shift键点击。 我的主要目标是能够login到该服务器,只需双击该batch file(也可以从命令提示符执行),而以我的域pipe理员帐户login,这应该能够做到这一点。
在AD FS中有一个网站列表,可以让你进入其他网站。 是否有可能在login之前不会显示这些内容,然后将这些内容限制为用户可以访问的服务(例如,Amazon Web Services仅限于AD上的AWS组,除非您是该组的成员,否则不能访问它)。 另外一个问题是,我们有AD FS运行Office 365.这不会显示为站点选项。 有没有办法使这个网站(我们使用Azure AD同步)。 我们希望做到这一点,以便您可以login到一个网站,并从可用的下拉列表中简单地select您的服务。 谢谢。