我们需要将某些用户locking在我们的terminal服务器上的一个非常严格的桌面上,并且只为他们提供一个可以自动启动的应用程序。 我有针对每个需求的GPO设置,但无法弄清楚如何仅将这些GPO应用于我们需要强制实施的特定用户。 WMIfilter是我的第一个猜测,没有潜入组策略环回(这可能会导致我们目前的AD结构和相关的GPO问题)。 我的问题是编写WQL语句来满足我的需求。 我试过[SELECT * FROM W32.ComputerSystem WHERE UserName ='domain \ username'],但是这个查询总是提供一个错误的返回值。 我的猜测是因为terminal服务器环境,但我不积极。 稍微看了一下W32.TSAccount类,但没有看到任何有用的东西。 任何人有想法或文学,你可以参考我,所以我可以进一步深入这一点? 任何帮助将非常赞赏,因为我没有AD / GPO的专家。
我知道用于login到启用活动目录的计算机的智能卡,但想知道是否有一个限制较less(而且更便宜)的解决scheme。 我正在寻找类似于一个实用工具,让我生成签名的“login文件”,然后我可以将这些文件复制到任何 USB磁盘。 当用户想要login时,他们可以插入带有文件的USB密钥,并自动login。 很明显,我(作为pipe理员)可以简单地撤消这些签名的文件,并在需要时生成新签名的文件。 有这样的效用/解决scheme吗?
我们有一个文件服务器的问题,每当用户帐户被删除,他/她的文件的所有权返回到他们的SID号码,这在我们的报告显示为未知。 有没有人find一种方法来更改PowerShell 2.0中的另一个用户的文件的所有者? 在将问题升级到Google后,似乎无法完成。 我觉得很难相信我们是唯一遇到这个问题的人呢? 我们可以通过Gui来更换车主,但这需要很长时间,因为我们有几千个文件夹来更换车主。 任何帮助或发现将是伟大的。 谢谢 加里
我们使用这段代码来查询一个ADAM实例。 DirectoryEntry adRoot = new DirectoryEntry(ConfigurationManager.AppSettings["LdapConnectionString"].ToString()); DirectorySearcher adSearch = new DirectorySearcher(adRoot); adSearch.Filter = "(&(objectClass=user)(objectCategory=person))"; SearchResultCollection searchResults = adSearch.FindAll(); return searchResults; 这是在App.config中的标记: add key =“LdapConnectionString”value =“LDAP:// servername:portnumber / dc = domainname ” 我们使用代码打印出从ADAM实例中检索的所有属性名称。 DirectoryEntry entry = searchResults[0].GetDirectoryEntry(); foreach (string property in entry.Properties.PropertyNames) { Console.WriteLine(property); } PropertiesToLoad是空的StringCollection,PropertyNamesOnly是false。 我们不检索我们的程序需要的proxyAddresses,street,zipCode和许多其他属性。 我在这里发现: 如果不指定属性列表,则search将返回目录中设置的访问控制所允许的所有属性的值。 所以,我的问题…这个访问控制集在哪里,我们将如何修改它,所以我们可以访问这些属性?
在我们公司,我们有很高的员工stream失率,因此我们的帮助台每周接收大约12个新的Active Directory帐户请求。 目前,我们仅通过电子邮件或语音邮件收到这些请求,而且我们很less拥有创build帐户所需的全部信息。 我想find一个Web应用程序,经理或主pipe可以使用这个Web应用程序来正式确定他们为他们指挥下的新员工创buildAD帐户的请求。 理想情况下,应用程序会提示所有必要的信息,并允许服务台检查请求并批准或拒绝每个请求。 如果获得批准,应用程序将负责创build帐户并向pipe理员发送电子邮件。 我在互联网上发现了几个处理自助帐户pipe理(即密码重置或更新联系信息)的应用程序,这也是很好的,但没有简化新的帐户请求和创build部分。 任何人都可以对这样的应用程序提出build议 谢谢。
我有3个域控制器。 我们将它们称为DC1,DC2和DC3。 DC3和DC2在他们的FRS日志中显示事件ID 13508,没有后续事件(我认为是13509)说错误已被修复。 DC1的FRS日志无论你从来没有显示任何事件,除了FRS服务停止和启动。 DC1保存需要复制到其他DC的SYSVOL。 其他DC的sysvol文件夹是空的。 我已经尝试了burflag方法来解决这个问题,但我没有任何运气。 我的程序是阻止所有区域局的所有FRS服务。 然后将DC1的标记设置为D4,将另外两个DC标记为D2。 在DC1上启动了FRS,并且我在DC1的FRS事件日志中看到的唯一事件是服务停止和服务启动消息。 这个事实使我相信在DC1的FRS上有些问题。 我相信在授权的sysvol恢复之后,FRS事件日志中应该有事件13553和13516。 另外两个DC在他们的SYSVOL中没有任何东西,否则我会让他们中的一个成为权威的sysvol。 DC1是MS Server 2003企业版SP2 DC2是MS Server 2003标准版SP1 DC3是MS Server 2003 R2标准版SP2 我原来并没有设置这个域名,但我现在是这个域名的pipe理员,所以我没有太多的背景知道为什么过去可能会做某些事情。 我的主要目标是尝试解决这些问题,让自己更好地做好分解DC1的准备,并将运行Server 2008的DC添加到我的域中。 谢谢。
ADMT 3.1将密码和SID历史logging的用户从我的Win2k域控制器(本地)复制到新的林/域中的新的2008 R2 DC(R2function级别)。 ADMT还可以将文件夹和文件从DC复制到外部DC,同时保留一组复杂的ACL,包括inheritance的权限? 或者,还有更好的方法? 如果有一个Win2k工具将ACL导出到Win2008工具可以用来通过匹配用户名重新创build它们的文件,那可能是理想的。
我们有一堆(虚拟VMware)Windows服务器(2003年和2008年),我们的托pipe服务提供商希望移动到一个新的AD域。 他们也想重命名服务器(只是为了引入新的命名约定)。 托pipe服务提供商负责维护服务器,而我们负责确保所有业务应用程序正常运行。 我们的业务应用程序包括使用诸如SQLServer 2008,TFS 2010,asp.net,一些传统COM +应用程序等定制开发的.net应用程序。 说实话,我不觉得这个迁移会像托pipe服务提供商想要的那样轻松无比。 在讨论与托pipe服务提供商的迁移所涉及的实际情况时,我将非常感谢我们应该了解的任何意见。 提前致谢。 克劳斯
我想知道是否有人提供了一个可靠的解决scheme来创build新的networking用户帐户请求表单,并附上工作stream程来自动创build帐户? 目前我正在调查一些选项,但是很惊讶,这样一个无处不在的任务还没有被解决了十几遍,并被彻底logging。 或者至less没有集成到当前的现成变更pipe理和票务系统中。 理想情况下,我希望我们现在的售票系统ServiceDesk +向部门主pipe提交标准的“新用户”表格,他们可以填写所需的新用户详细信息。 这会触发一个工作stream,将请求作为可以检查和执行的票证提交。 操作票据会触发一个工作stream程,在AD中创build一个用户提供的详细信息,并在完成后通知部门负责人。 总而言之,我相信大多数组织都有相当标准的要求。 其他人做了什么来完成呢? 编辑:我应该补充说,我更多地寻找“支持”的方法。 因为我已经提交了一些脚本化的解决scheme,其中没有一个能够得到经理的批准。
我有一台连接到Windows服务器上的Active Directory的Linux机器。 我configuration了网卡以从DHCP获取IP(从Windows服务器) 但是,当我尝试在Linux端nslookup <server IP>它不起作用(连接超时),但在同一台机器上,当我加载窗口,并执行nslookup <server IP>它的工作原理。 我的Linuxconfiguration或Windows DNSconfiguration有什么问题? 注意:我已将DNSconfiguration为不安全且安全的连接。