我今天在工作上搞砸了,而且我不小心从阅读级别的权限中拒绝了一个组(我不知道哪一组)。 我开始为GPO的用户进行授权工作,而且我必须不小心点击了域pipe理员或域用户组,并拒绝了它。 但是,当我尝试通过DSACLS恢复时,我得到一个错误。 我似乎无法得到ADSI编辑来解决它。 我以域pipe理员身份login。 任何帮助将是伟大的,谢谢。 编辑:我做了一些进展,但DSACLS给了我一个“命令未能成功完成”的错误。 编辑#2:我现在使用的帐户是标准域pipe理员和域用户组的成员。 编辑#3:域pipe理员也无法访问此GPO。
我有一个有6个DC的Active Directory,其中新添加的DC02不复制。 这是Windows 2003的混合环境。它也是PDC,RID和基础架构angular色的拥有者。 现在我想知道推进的最好方法是什么。 新的DC正在用一个不同的名字取代一个降级的DC,并且最初在新的DC添加之后,一切看起来都不错。 在推广它之后,我让它静坐一个星期,让它在移动FSMOangular色之前完成所有的复制。 这并没有让我担心转移angular色,所以我认为这一切都是按照预期进行的。 过了一段时间,我们开始注意到添加到DC02的新DNSlogging没有被复制到其他DC。 据我所知,现在情况如下: DC02没有共享SYSVOL和NETLOGON 其他的DC仍然看起来在复制,但没有一个DC02的连接。 DC02从其他DC接收更新 其他DC为PDC,RID和基础架构的angular色持有者报告ERROR 从我的研究,我想我有两个select,并想知道哪个将是最好的使用: D2 / D4 Burflags权威性还原,在DC02 (以及所有其他DC?)上的工作DC和D2上设置D4 。 我之前没有这样做,并且觉得是暂时的,因为我不确定它会做什么。 使故障DC02永久脱机,并将FSMOangular色恢复到原始DC。 不知道这会做什么。 我会很感激有关如何前进的任何提示,以及可能需要采取哪些预防措施。 更新1: 旧的FSMO拥有者DC01在运行dcdiag时给出了这个假设这些错误是由错误的DC造成的,并且应该仍然可以将angular色转移到此服务器上吗? dcdiag /q : Dcdiag could not locate (null) in the dcdiag's cache of servers. Try running this dcdiag test against this server, to avoid any problems caused by […]
有没有办法设置AD和/或Exchange,以便在AD中设置两个名字相似的人时,它只是将中间的首字母加到电子邮件中,而不是在最后加上一个数字? 例如:Jon Jacobs拥有jjacobs的用户名和[email protected]的电子邮件。他的妻子也在这里工作,她的名字叫Joan。 当她被添加到AD中时,她将用户名改为jajacobs,因为她的中间名是ariel,但现在她的电子邮件被列为[email protected]而不是[email protected]。 我们如何改变这一点?
我们正在运行由几个不同的Windows机器(Vista,Windows 7,Windows 10,2008 R2,2012 R2,…)组成的Active Directory。 我必须想出一个概念,允许本地权限的粒度pipe理。 目前有太多的人对机器有完全的权利。 我打算做以下事情: pipe理员(ServerA上的本地组) <== isMemberOf()== ServerA_Administrators 备份操作员(ServerA上的本地组) <== isMemberOf()== ServerA_Backup操作员 等等… 然后我会为ServerB做同样的事情,等等。 之后我会把这些AD组合成一个更大的这样的组合: Server_Administrators(成员:ServerA_Administrators,ServerB_Administrators,…) Server_Backup操作员(成员:ServerA_Backup操作员,ServerB_Backup操作员…) 等等 这将允许我控制广告方面,哪个用户有本地pipe理权限。 我可以一次给所有机器上的用户上帝权利,而其他人只有一台机器(或者只有一台)。 缺点是我会炸毁广告数据库,因为很多新的组是必要的。 不幸的是,我没有find任何来自微软的文档,描述了在AD环境下处理本地内置组的最佳实践。 什么是实现我的目标的最好方法?
关于备份组策略的所有文档都讨论了使用组策略pipe理编辑器将GPO与域的其余部分分开备份。 任何计划或自动备份过程都依赖于自定义的PowerShell脚本。 GPO是否像域名的其他部分一样通过Windows Server Backup进行备份?
在新部署的环境中总是“天才”我跑了: sysprep /oobe /generalize /mode:vm /shutdown 在创build新的AD环境期间在错误的VM上。 更糟的是,它是在第一个/唯一的域控制器上运行的。 实际上,Sysprep应该在将成为第二个域控制器的计算机上运行。 此外,我还没有备份(“天才” – 告诉你)。 幸运的是,没有连接的客户端,所以我可以再次configuration一切。 但有没有办法从这样的情况下恢复? DC有一个新的SID,名称等,但据我了解Sysprep,AD数据库应该是完整的。 当然,我不能login到DC,因为我得到错误服务器上的安全数据库没有这个工作站信任关系的计算机帐户 。 有任何想法吗?
我搜遍了,我认为这将是相当普遍的,但也许不是。 我想通过Get-ADGroupMember使用用户名列出用户的域。 所以比如我有这个: Get-ADGroupMember -identity "MyGroup" -Recursive -Server "my.domain.net" | select-object SamAccountName 哪个列表 SamAccountName ————– jsmith dsmith lsmith 我想这个列表返回用户的主要域名,所以例如我有域名 prod.my.domain.net dev.my.domain.net my.domain.net 我想要一个将返回的查询 prod\jsmith dev\dsmith my\lsmith 取决于用户域(注意名称顺序无关紧要)。
我准备将我的公司迁移到Microsoft 365云服务。 我们在Windows Server 2012 Standard上有一个本地AD服务器。 我对Windows Serverpipe理很新,所以直接在我的AD服务器上运行一些东西让我有点紧张。 在准备运行MS Azure AD Connect时,是否应该知道AD停机时间? 还是我应该了解的其他任何一方? 我已经阅读了几篇教程和关于从MS运行它的文档,但是我没有读到真正解决这个问题,所以我一直认为这是一个相当简单的同步,无论是工作,或不,但赢得不影响AD服务器本身。 这是一个正确的假设,还是我在工作时间绝对不应该做的事情,并准备一个漫长的夜晚?
它在我看来像文件夹redirect编辑以下两个registry项将文件夹指向不同的位置: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Shell文件夹 首先,困惑为什么它也编辑壳牌文件夹? 我认为这是古老的,“用户shell文件夹”优先。 它实际上是直接编辑registry项,并且我安全地直接编辑这些密钥? 另外,如果我手动编辑它,我应该甚至打扰编辑shell文件夹,如果用户shell文件夹优先?
我有一个多站点Windows Server 2012 R2 AD域。 到目前为止,我们一直在使用个人办公许可证。 在一个特定的网站上,我们正在testingOffice 365的实施。 如何将Office 365帐户集成到本地AD结构中,以便用户不必记住Office 365的另一组凭据? 我遇到了一些似乎解释如何做的指南,但都涉及在域控制器上设置东西。 我不清楚的是: 我如何才能为我们正在部署的网站设置此集成? 它只适用于该网站和该网站的特定用户。 我在哪个DC设置集成? 整个组织的主要区域(场外)? 我们正在推出Office 365的地方的本地DC? 如果我在现场有两个DC(就像最佳实践一样),我可以在两个DC上设置集成吗? 这是另一个看起来很模糊的部分:我们在几个(国际)站点上有一个AD,但是每个当地办事处都会为他们自己购买和维护自己的Office 365帐户(在这里我是在讨论组织帐户而不是用户帐户)本地用户出于会计和许可原因。 是否可以将多个组织Office 365集成到一个AD中? 如何设置它,以便AD / Office 365集成知道在哪里可以findOffice 365帐户?