我负责创build一个脚本,用于轮询AD以获取特定信息,然后根据这些信息创build适当的电子邮件地址。 请允许我给你一点破损。 我的公司有5个电子邮件域,我们有。 所有5个都允许通过交换,但我们现在只使用一个。 目前,每个人都使用默认的company.com电子邮件地址进行设置。 我们有几个不同的品牌,我们希望将我们的用户细分,以提高电子邮件的传输能力,以便在营销决定发布大量电子邮件时帮助我们的企业电子邮件不受IP信誉的影响。 我pipe理7台Exchange 2010 DAG服务器(3个生产,3个DR,1个3天延迟)。 在PowerShell中我相当不错,并且find了我需要的代码块,所以我并不是在寻找一个完整的脚本,但是我遇到了一些麻烦。 企业想要做的是有一个脚本读取AD中的一个属性,然后基于该属性将其分配给正确的品牌。 所以,比如说。 如果AD用户具有“营销”属性,则他们将获得marketing.com电子邮件地址作为其主要答复地址,同时仍将其公司电子邮件地址保留为次要地址。 如果AD用户具有“build筑产品”作为他们的属性,building.com将是他们的回复电子邮件地址等。 我可以让PowerShell为AD查询一个属性。 我可以得到它来创build一个电子邮件。 我有麻烦找出如何让它select其他域名之一,而不是默认company.com的电子邮件地址。 任何有识之士将不胜感激。
我们在我们的域中有一个OUdevise,其中每个“系统”(Web服务和类似的)都有它自己的OU,在这个OU之下嵌套了它使用的服务器和帐户: … + System A + Servers – SRV-A1 – SRV-A2 + ServiceAccounts – Svc-Foo – Svc-Bar + System B + Servers – SRV-B1 – SRV-B2 + ServiceAccounts – Svc-Baz – Svc-Qux 我试图构build一个GPO,它将在系统中的所有服务器上添加“作为服务login”到相应服务帐户OU下的所有帐户。 因此, Svc-Foo和Svc-Bar应该能够在SRV-A1和SRV-A2上作为服务login,而Svc-Baz和Svc-Qux应该能够作为SRV-B1和SRV-B2上的服务loginSRV-B2 。 我想我应该能够使用物品等级定位来做到这一点,但我还没有想出如何参数化它。 我是否正确? 这可能吗? 该域目前是2008R2function级别,但如果需要,我们应该能够“很快”将其提升到2012R2。
我有一个连接到Azure Active Directory的现有Office 365订阅(我相信它们都是默认的)。 我需要托pipe另一个Azure Active Directory,但需要授予对同一个Office 365订阅的访问权限,这是否受支持? 我已经做了一些研究,发现了使用ADFS等同步多个森林的大量内容,但是这需要虚拟机或本地AD,我不想要。 这感觉应该是可能的,因为当我在Azure Active Directory上注册自定义应用程序时,它只是一个令牌提供程序。 以下是需求的背景,我有两个Active Directory森林(实际上通过戴尔Identity Manager的两个实例向外界公开),一个用于内部人员,另一个用于外部合作伙伴。 有一个业务正在使用的现有订阅,他们一直在使用“外部合作伙伴访问外部合作伙伴访问的临时解决scheme”。 我被要求将这与公司使用企业身份pipe理系统的政策相一致。
我想将一个现有的虚拟化域控制器从北部中心Azure地区移动到东部地区。 我知道如何移动VHD,并基本上将其迁移到另一个地区。 虽然我关心的是这个问题: 您应该closures并重新启动在来宾操作系统中的Azure中运行域控制器angular色的虚拟机,而不要使用Azurepipe理门户中的“closures”选项。 今天,使用pipe理门户closures虚拟机会导致虚拟机解除分配。 解除分配的虚拟机具有不会产生费用的优点,但是它也重置VM-GenerationID,这对于DC是不合需要的。 当VM-GenerationID被重置时,AD DS数据库的invocationID也被重置,RID池被丢弃,并且SYSVOL被标记为非权威性的。 https://msdn.microsoft.com/en-us/library/azure/jj156090.aspx#BKMK_Safe 域控制器作为Windows Server 2012 R2运行。 移动域控制器虚拟机最安全的方法是什么?考虑什么? 我应该克隆虚拟机? 即捕获虚拟机,然后将其导入到新的区域?
我一直在阅读这里的广告文章,与儿童领域相比,我们仍然对“网站”产生了浓厚的兴趣。 我一直在使用Windows 2012 R2域和function级别来pipe理迷你私有云。 我们希望确保来自一个子域的用户看不到任何其他子域。 我们使用隔离networking和子域configuration来实现这一点。 不得不在每个子域中粘贴一个ADC变得越来越麻烦,我们希望转换为能够实现相同的安全隔离但集中pipe理的模型。 我已经把单独的OU的计算机和用户的想法踢开了,但是并不认为这是孤立的。 然后我看了网站,这是更有希望的,但透露,我不真正了解网站背后的概念,以及它们的好处和陷阱。 在我阅读这篇文章的时候,我不断地看到对子域的引用被推到一边,转而支持一个新模型,但是不能将子域的安全隔离概念连接到一个OU或者一个Site。 是否有任何或任何地方我可以深入了解如何以及何时使用OU或站点?
对不起,长序言,并提前感谢一个谁可以读这一切。 我有大约60台networking打印机。 一些在总部,一些在遥远的地方(距离总部1到300公里)。 有些位置有打印服务器,有些则不是。 没有PS的位置由HQ的打印服务器提供。 打印机通过GPO /用户/首选项/控制面板进行分配。 这是不可能的,因为我们的“主要总部”(上级IT部门)不允许站点pipe理员创build他们自己的GPO,我们只能使用有限数量的GPO,并且编写大量类似的GPO规则来连接打印机和共享到特定的用户组。 例如,Accounting部门的内部编号为008.然后,dept_008组的所有成员必须能够完全访问共享“docs_008”和两个打印机(MFU),例如prn015和prn027:会计部门占用两个大房间(prn015在#310房间,prn027在#312),每个房间有一个MFU。 部门和设备的命名与房间号码无关 我为这些打印机创build了4个(4个!)组: 组dept_008是use_prn015和use_prn027组的成员,以使两台打印机连接到所有008的工作人员:如果一个MFU发生故障,他们可以继续打印并在隔壁的MFU上扫描。 #310房间的工作人员将prn015作为默认打印机,而#312 – prn027作为默认打印机。 然后,一些dept_008的工作人员是use_prn015def的成员,其他一些工作人员正在使用use_prn027def,其中“def”代表“default printer” 我们的高层认为,最终用户太忙,不能让他/她学习“如何select默认打印机” – 他们认为这一定是IT部门头痛的问题。 然后,GPO规则将处理这种情况:“如果用户在use_XXXdef中,则连接prnXXX并将其设为默认打印机,否则,如果用户正在使用_XXX,则连接prnXXX并且不要默认,否则根本不连接prnXXX”。 我有大约120条规则,因为GPO的灵活性不足以允许有条件的默认/非默认连接:我可以(在一个规则中)将打印机作为默认连接,或者作为非默认连接。 感谢您阅读,直到这里。 这是序言的结尾。 现在我们买了prn030来replace老化的prn015。 Prn015仍处于良好状态,它将取代远方的prn001。 打印机的名称是永久性的:打印机将在其有效期内具有该名称 – 名称中的3位数字使我们能够创build足够的唯一名称:-)但是,此打印机现在必须由另一台打印服务器(即ps002)控制,这是在遥远的位置。 而且我必须更改GPO规则来连接ps002 \ prn015而不是ps002 \ prn001和psHQ \ prn015。 当一台打印机每两个月移动一次就可以了。 但有些时候需要将更多的打印机移动到另一台打印服务器上,这是一个非常头疼的问题 – 重新编写所有这些规则,并在打印服务器上重新分配打印机。 好的,我可以控制每台打印服务器的每台打印机,禁用与打印服务器不在同一位置的打印机。 (例如,遥远的ps002有预先定义的共享打印机prn030,但不会服务),但重新编写规则… OMG! 我找不到在GPpipe理编辑器中没有数千次鼠标点击的情况下如何重新编写这些GPO规则的有用答案:我不知道如何编写此过程的脚本,例如将2列列表提供给某个程序在所有GPO适用的所有规则中,将“psHQ1”,“psHQ \ prn015”replace为“ps002 \ prn015”所需的所有修改…是否可以 – 在没有GUI的情况下修改GPO规则? 更多的是,我的老板在梦想自动select相对于用户login位置的PS。 例如,如果location002用户在locationHQ计算机上login(AD域),他必须得到他的“新”prn015,但他必须得到psHQ \ prn015而不是ps002 \ […]
这是我第一次深入MS Exchange 2013,我需要做这样的事情:我创build的每个组都需要一个分发列表。 以下是这些组及其分配的用户: 组别1 用户1 用户2 用户3 第2组 用户2 用户4 用户5 组3 用户1 用户3 用户5 基本上,如果我发送一封邮件到[email protected],那么组1中的所有人都将收到邮件。 虽然,如果我将用户添加到AD中,我希望分发列表能够用正确的用户组自动更新。 正如你所看到的,一个成员可以是多个组的一部分,所以我不能使用Exchange的department领域。 我怎样才能做到这一点? (没有Powershell,因为我对PowerShell一无所知) 谢谢!
我有一个Windows 2012服务器与IIS 8上。 我试图允许在Active Directory上的IIS_ADMIN组中的用户被允许pipe理服务器。 问题 当我用IIS_ADMIN组中的用户login到我的服务器,并打开IIS时,出现在起始页和起始页。 然后,我将尝试使用“连接到服务器…”选项连接到本地服务器,出现错误“未经授权”。 我可以以pipe理员或pipe理员组成员的身份login到服务器,并查看IIS中的起始页以及本地服务器。 预期结果 我想能够添加任何用户到我的AD中的IIS_ADMIN组,并让他们能够看到服务器,当他们login到并打开IIS。 我所试过的 我尝试了几个不同的选项来尝试解决这个问题。 将AD组(IIS_ADMIN)添加到本地组策略的IIS_USRS本地组 将AD组(IIS_ADMIN)添加到本地服务器上的pipe理员组 将IIS_ADMIN组的用户添加到本地服务器上的pipe理员组(这是可行的,但不是我想要的,因为这会让用户pipe理员访问整个系统)
我们有一个Web应用程序(ASP.NET MVC)安装在IIS上,用于启用Windows身份validation的客户端之一。 身份validation正常工作,但问题在于授权级别。 授权types是基于angular色的授权。 所以我们有三个级别的授权:MISV_Administrator MISV_Normal MSIV_Readonly 如果我们在安装了IIS和Web应用程序的同一台机器上本地创build这些组,并将域用户分配给他们,则用户可以访问我们的应用程序。 但是,如果我们在活动目录中将这些相同的组创build为域全局组,并将用户分配给这些组,则现在用户会收到未授权错误。 计算机,Active Directory服务器和IIS服务器位于同一个域中。 所以我不明白为什么它在本地工作,而不是全球工作组?
我已经在我的环境中安装了一个新的Active Directory 2008域控制器。 我们目前正在运行2008 AD服务器作为辅助。 主AD服务器是一个2003域控制器。 我们正在努力将这台服务器暂时closures,并且新的AD正常工作。 我们一直在运行新的2008 AD服务器约2个月没有任何问题。 今天我正在处理发生的备份问题,并且在本地用户帐户(ctrl面板,用户帐户)中find了有大约100个域用户帐户在那里列出的服务器。 我的问题是2008 AD域控制器在这里放置本地用户帐户这是正常的。 我试图删除一些这些帐户和用户帐户只是locking的不响应。 我必须closures任务pipe理器的用户帐户才能closures用户帐户。 但是,如果我打开用户帐户备份用户不见了。 所以基本上需要知道,如果这是一个2008 AD域控制器将域用户帐户置于本地用户帐户的正确行为? 试图找出这是否是一个问题?