我可能无法完成任务: 设置:保健关注:根据当天的工作职能限制访问。 一个人可以在我们的一个OU工作3天,然后在不同的OU工作2天。 也就是说,这个人在两个不同的部门兼职。 对于单个应用程序将其称为“患者logging”,我们希望用户限制在OU 1工作时查看对应用程序的访问权限,并且只能在OU 2中使用更新访问权限。 我明白“Member Of”Group是用户对象的属性,应用程序授权的典型行为是查看“View”组的成员,“Update”组的成员,给用户会话一个级别访问(大多数限制性或最宽松的?或只是第一个在列表中find? 如果我在login时通过自定义login页面询问用户selectOU(即从列表中select他们的部门),有没有什么办法让应用程序给他们只有与该OU相关的访问? 我知道你可以使用两个独立的域来完成这个工作,并且为用户提供一个不同的用户标识,这是他们的唯一方法,可以满足以下要求: 用户只能有一个用户ID? 用户必须根据组织单位获得不同的权限 用户可以select哪个组织单位 我们希望在单个AD域中做到这一点,试图实现单个森林单一域,而不是另一个方向。 我宁愿不必自定义应用程序来完成这项工作。 在此先感谢您的帮助。
我的公司通过Active Directory彻底组织了数千名员工。 我有信心在用户configuration文件中显示的部门和标题信息的准确性。 我正在帮助build立一个全新的SharePoint 2007站点,并联系了IT部门通过AD组pipe理站点权限。 目标是让网站根据AD中的信息自动分配读/写/贡献/任何权限。 例如,我们可以创build一个名为“经理”的AD组,其中包含AD用户configuration文件中具有“经理”标题的任何人。 如果我知道所有的pipe理者需要一定的访问级别(读/写/贡献/任何),我会让SharePoint利用这个AD组来批量分配权限。 那么,如果一个经理join公司或者离开公司,那么这个小组会自动更新(当然提供了公元更新)。 我的IT代表回电并表示无法完成。 这似乎是一个非常简单的业务需求,并具有Active Directory的巨大好处之一,但也许我错了。 任何人都可以点亮这个? A)当通过SharePoint分配权限时是否可以使用dynamic更新的AD组? (有谁知道一个指导,我可以显示我怀疑的IT代表?) B)是否有一个“最佳实践”的方式去做呢? 我已经阅读了一些有关SharePoint组或AD组是否要走的争论。 我主要关心的是dynamic更新。 C)如果这不是开箱即用的,有人可以推荐第三方软件来提供我正在寻找的function吗? 非常感谢任何人可以帮助我!
Active Directory对象包含一些由其他属性组成的构造属性。 使用ADSI编辑,我可以打开我的特定属性的架构(CN = ms-DS-Principal-Name,CN = Schema,CN = Configuration,…)并查看模式属性,但是我不看到那里的任何东西,定义它如何build立其价值。 我想知道如何做到这一点。
我们有一个约70台Windows电脑(XP和7)的小域。 我们希望安排一个命令(更新机制)定期在所有计算机上运行,而且我们希望任务运行,而不pipe计算机与我们networking的连接 (即,即使在没有连接到我们networking的笔记本电脑上,任务也应运行VPN)。 我们有一个Microsoft System Center Essentials 2010服务器,所以这可能会派上用场(我们不确定这个function有多大)。 我看到的选项是这些: 手动完成。 用手或远程使用psexec(和at命令?)为我们networking中的每台计算机安装计划任务。 强制新映像的计算机在部署到员工之前应该已经安装了这个任务,或者该任务应该在映像中。 初始成本很高(不得不为70台计算机中的每台计算机完成这项工作),但是将其构build到映像中可能会起作用…但是在确保将任务添加到所有内容方面需要进行一些维护。 而且我担心一两年后,我们会忘记这些,或者马虎,或者有新的IT员工错过了这一步,有些电脑就没有这个任务。 让我们的一台服务器运行一个脚本,通过所有的计算机和psexec的命令在networking中的每台计算机上循环 – 它只能运行在连接的计算机上,所以这个解决scheme是行不通的。 我怀疑SCE也可以这样做,但这不是一个好的解决scheme。 这些都不是理想的,我敢肯定有一个更好的方法来做到这一点 – 对吗? 什么是完成这个任务的最好方法?
我们有一个最近结婚的用户,她的名字已经改变了。 我有能力重新命名用户,loginID和电子邮件地址,但有没有一个正确的方法来做到这一点? 有什么特别的我需要知道,如果我重命名用户ID和/或电子邮件地址? 它会断开还是什么? 谢谢。
我想知道是否有办法简单的我的过程(ES)。 目前我有Windows XP工作站,Windows Server 2008 R2,活动目录和域服务,文件夹redirect。 当用户当前login到工作站时,他们的文档等与工作站同步,用户可以开始工作。 但是,我们在我们的环境中使用的程序数量众多,要求在工作站上的权限高于用户权限。 因此,为了使一些用户能够正常工作,我们必须将用户添加到本地用户帐户,并将其设置为pipe理员。 有没有办法让我消除这个? 有没有办法让我保持当前的设置,而不必访问每个站点,并设置用户作为pipe理员的一些软件来正常运行?
我们处于混合Unix(在这个Samba案例中的AIX)和Windows域环境。 我们今年的目标之一就是从XP升级到Windows 7.在testing时,我们发现我们无法像Windows XP那样从Windows 7连接到我们的Samba共享。 我们正在运行Windows 7 Enterprise x64和Samba 3.5.2。 我们已经禁用了Windows 7机器上的防火墙,并从Windows 7 的Samba维基条目中创build了适当的密钥。 smb.conf文件: >cat smb.conf [global] workgroup = DATABASE netbios name = MS server string = ms interfaces = 10.48.93.202/255.255.255.255 127.0.0.1/255.255.255.255 encrypt passwords = Yes update encrypted = Yes pid directory = /opt/pware64/var/locks private dir = /opt/pware64/private smb passwd file = /opt/pware64/private/smbpasswd log […]
我监视Active Directory服务器上的EventID 4768以捕获用户login。 到目前为止这么好…我观察到用户设置为$的所有事件都是计算机。 我的问题是,据我所知,我被允许设置用户名如'abc $'。 所以基于'$'的区分并不是最好的方法。 我也看不出2个事件之间的差别,一个来自计算机,一个来自用户login。 那么,当我loginlogin事件时,如何安全区分用户和计算机呢?
在执行任何function(如Exchangepipe理控制台)时,本机Active Directorypipe理中心(ADAC)不会为您提供powershell替代scheme。 有没有办法改变这个或有一个插件,将显示此?
我有一个小域来pipe理testing环境中的一些主机。 我注意到一个奇怪的问题,涉及从DC上设置的DNS服务器的DNSlogging的随机消失。 我有两个相同的域客户端,client01和client02。 两个都有他们的IP地址由我不控制的DHCP服务器分配。 两个都手动覆盖他们的DNS设置有作为他们唯一的DNS服务器的DC,与正确的域名放在DNS后缀框和'注册此连接的地址在DNS'框都检查。 这两个客户端都是Windows 7。 客户端1具有在DNS服务器中维护的DNS条目,因此DC可以通过名称ping客户端1。 客户端2偶尔会在短时间内得到一个条目,通常是在重新引导或发出ipconfig /registerdns命令之后。 然而,这在大约30分钟后消失。 任何想法是什么造成这个?