主DC发生故障后,次DC不能对用户进行身份validation。一旦在pdc down之后,在次DC上的辅助dns中出现此严重错误,直接进行。 事件ID 4015(DNS服务器遇到来自Active Directory的严重错误,请检查Active Directory是否正常工作,扩展错误debugging信息(可能为空),事件数据包含错误。
我目前遇到一些IIS .NET授权规则,这些规则限制了基于AD组成员身份访问网站。 这些组被configuration为全局组,名称为GROUP NAME ,IIS中的规则设置为<allow roles="GROUP NAME" /> 。 作为一个例子,这个组中有两个用户,AccessUser1和AccessUser2。 AccessUser1具有指定的用户login名以及2000以前的login名,但是当尝试login到站点时,会显示未经授权的消息。 AccessUser2只有一个2000年以前的login名,但是当他们访问该站点时,他们被成功授权并可以查看该站点。 在授权规则和用户login名称之间是否存在一些configuration错误,这意味着allow roles只能在2000以前的login中使用,并且规则需要为2000年以后的login名指定不同的规定?
背景信息 我有几个非常基本的WMIfilter,用于我的GPO。 他们所做的只是检查正在运行的操作系统版本和环境variables的值。 这个filter正在整个我们的域的几台机器上使用,没有任何问题。 但是关于他们的一个手段不能可靠地评估这个WMIfilter,甚至提供矛盾的结果! 仔细看一下从gpresult /h rsop_computer.html /scope computer创build的gpresult /h rsop_computer.html /scope computer获取的截图 还有一个WMI手柄泄漏,我只是无法隔离。 我已经多次提出了句柄配额(现在已经设置为32k),但它仍然不断崩溃,这批准了真正的句柄泄漏,而不仅仅是一个负载问题。 题 怎么会有,一个GPO适用,但另一个不适用? 两者都使用相同的 WMIfilter!
我正在运行一个CentOS 7 VirtualBox实例。 我正尝试通过我们的公司Active Directory服务器设置LDAP身份validation。 注意:AD服务器没有安装Unix扩展。 build立: 我已经安装了nss-pam-ldapd nslcd和nscd服务设置为在启动时运行 /etc/nsswitch.conf已被编辑以添加ldap: passwd: files ldap group: files ldap shadow: files ldap hosts: files ldap dns myhostname ethers: files ldap networks: files ldap protocols: files ldap rpc: files ldap services: files ldap sss aliases: files ldap nisplus /etc/pam.d/password-auth和/etc/pam.d/system-auth编辑添加: auth sufficient pam_ldap.so use_first_pas account [default=bad success=ok user_unknown=ignore] pam_ldap.so password […]
我在公司的AD里有一大堆电脑,我想给那些使用一台PC的人最多的时间去访问本地的pipe理员组。 我知道,不是最好的主意,但有时候我还需要我的员工自己安装一些东西…最简单的方法是什么?最好使用组策略,以便从一个地方进行pipe理。 我已经做了几个电脑已经只是手动添加域用户到本地pipe理员组。 这有用,但是,呃,我想要更全球化的东西。 我想,ADUC中有一台PC的“Managed by”属性,所以可能使用这个或某个东西。 无论你在想什么,它都是一个很酷且漂亮的解决scheme。
我注意到一些(不是全部)我的工作站,对GPO的更改没有被应用。 我login到一对夫妇,并运行gpupdate / force。 我得到了“组策略失败的处理”,Windows试图从域控制器读取文件\\(domain.local)\ sysvol \(domain.local)\ policies \(guid)\ gpt.ini并且没有成功。 ..“。 我开始追踪它,这是我发现的。 从DC1,我可以浏览到\\(domain.local)\ sysvol \(domain.local)\ policies \(guid)\,没有问题。 从DC2,我可以浏览到\\(domain.local)\ sysvol \(domain.local)\ policies \(guid)\,没有问题。 从有问题的计算机上,我无法浏览到\\(domain.local)\ sysvol \(domain.local)\ policies \(guid)\。 该文件夹不存在。 从一台有问题的机器上运行ipconfig / flushdns和ipconfig / registerdns。 之后,我做了一个nslookup(domain.local),它返回了两个DC的正确IP。 我也试过运行ipconfig / release && ipconfig / renew来试试,结果也一样。 另外需要注意的是,当我浏览到数据中心的SYSVOL文件夹时,会看到创build/复制策略的date。 但是当我从工作站浏览到SYSVOL时,所有date都是3天前。 这恰好是我们添加DC2(它取代了旧的DC)。 所以我相信这跟它有关系。 只是不知道是什么。 GUID标识的策略是在更改之前创build的。 任何input赞赏。
我在Windows Server 2008 Active Directory环境中运行。 我被要求拒绝打开某些文件名和文件types的文件。 例如,系统或用户不得以任何方式打开或保存文件Read.docx和Apple.apt。 在实施组策略软件限制时,我将文件types添加为指定的文件types属性,并按照不允许执行的path规则设置文件名。 到目前为止,可执行(.exe)文件被阻止。 但是,其他types的文件(如TXT或DOCX)并未被组策略应用。 怎么可能阻止某个文件,我们知道它是在我们的环境中运行或创build的名称和扩展? 这样做的目的是为了避免已知的恶意软件执行。
当我join一些电脑域名PC的主机名切换到大写。 由于我们混合(linux / windows)环境,这提供了一些问题。 如何通过netdom命令将小写的主机名连接到域,并在其上留下小写的主机名? 谢谢。
目前我有一个服务“WINRM”(另一种称为Windows远程pipe理),默认情况下设置为正常的启动types。 我在服务器上创build了一个组策略对象来更改所有机器,以将此服务的启动types更改为自动。 我在计算机 – >首选项和计算机 – >策略方式中执行了这两种方法。 当我在testing计算机上运行GPUpdate / force然后重新启动时,我看到服务没有启动,服务没有设置为自动启动types,我有其他GPO正在工作,所以我知道我有它分配到正确的组,任何帮助表示赞赏,谢谢! 我的设置:服务器是Windows 2012服务器,testingPC是Windows 7。
我对Active Directory中的UPN后缀/用户login名有个疑问。 快速破解: 我们有一个域和Exchange服务器的本地,该域名为CONTOSO.local 一个用户有3个邮箱设置帐户,详情如下: 域\ jamesp有邮箱[email protected] domain \ company2jamesp有邮箱[email protected] domain \ company3jamesp有邮箱[email protected] 我们最近开始使用AD Connect将用户同步到Office 365 for Hosted Skype。 当AD Sync完成后,James的账户将出现在365中,如:[email protected] [email protected] [email protected] 我希望James的company2,company3账户在office 365中出现:[email protected] [email protected] 从我的理解,我能做到这一点的唯一方法是在Active Directory中更改每个用户的UPN后缀和现代login名,但保持Pre-Windows2000login名相同 – 示例如下: ^对于公司2帐户,你可以看到我想把company2的名字从company2jamesp改成jamesp(问题是这个冲突会导致问题,因为jamesp已经存在一个不同的后缀) 我已经为一个用户完成了上述操作,但是可以这样做吗? 亲切的问候,Jake Ives