我可以在Active Directory中有两个不同的具有相同名称的容器组吗? 例如,我可以有一个OU = baz包含一个组CN = foo和一个OU = bar组CN = foo? 这全都在同一个域中。 这个组合的types是否有所不同? 我一直在玩ADAM,似乎这是可能的,但我不知道如果一个生产AD实例可能不允许这样的事情。 谢谢,卡尔
我目前正在准备一些安装程序的主动目录设置。 服务器安装了包含帐户locking策略的默认策略。 但是,该设置要求用户将该机器升级为域控制器。 机器升级之后, 我想知道是否有任何脚本方法可用来修改活动目录上的域帐户locking策略。 我做了一些研究,发现Windows Server 2008 R2可以使用PowerShell。 一些VBScript也可以检索策略的信息。 但是这两个都不能帮助我。 是否可以脚本(或更多)
我想列出一个域中的所有机器名和他们当前的ip,如果他们在线。 我想在域控制器上使用dsquery列出所有机器。 我想知道: 如果我在不同地点分布域控制器,它会工作吗? 我是否需要在主域控制器上运行它? 有其他select吗?
我们的帐户政策设置为在10次失败login尝试后locking用户。 我们有一个代理authentication服务器,它是AD的一个成员,它从浏览器获得authentication请求并把它们转发给DC。 某些用户在某处保存了旧的/不正确的凭证(三方软件),因此每天都会被locking。 是否可以configurationGPO(不使用WMI)将此auth服务器从locking策略中排除或将locking阈值设置为1000次尝试失败?
我将把我的Windows 2008域从/ 24迁移到/ 16networking(仅作为示例,不打算太具体),而且这个过程似乎在我的search中logging的很差。 据我所知,我将需要相应地更改任何静态IP寻址和修改DNS(反向查找区域),DHCP(范围)和Active Directory站点和服务(站点IP范围),但是我担心可能会有一些陷阱我不知道。 链接到任何资源或任何有关将Windows域名迁移到新networking的build议将不胜感激。 在移民完成后,我也很乐意发表自己的经验,帮助未来的游客。
我有一个3 DC的域名。 一个开始失败,所以我提出了一个新的。 所有运行的Win 2003。 问题:4台机器之间似乎存在复制问题,但我无法弄清楚是什么原因造成的。 所有在DNS上的注册都和我能做到的一样。 我怎么知道有问题? Nagios告诉我其他3个DC有KCCEvent错误,新机器报告“连接失败”错误。 在新机器上执行dcdiag报告:主机无法parsing为IP地址。 当我使用DNS名称login时,这看起来很疯狂。 我可以使用这个DNS名称从其他三台机器ping它。 从新机器repadmin /showreps说,看到其他3台机器。 从其中一台较旧的机器执行此操作不会显示新机器。 我已经尝试了很多次netdiag /repair 。 没有运气。 在任何机器上都没有运行防火墙。 如果我通过MMC(在新计算机上)查看域信息,则显示所有信息都是最新的。 用户,计算机,数据中心..在那里。 林不知道我添加这台新机器错过了什么步骤。 build议? 编辑:从非工作的dcdiag: C:\Documents and Settings\Administrator.BME>dcdiag Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: Default-First-Site-Name\YELLOW Starting test: Connectivity The host 312ce6ea-7909-4e15-aff6-45c3d1d9a0d9._msdcs.server.edu could not be resolved […]
使用Windows Server 2008 R2。 我知道有扩展属性1 – 15可用,但我不知道如何查看/访问它们? 我已经使用了ADSI Edit和ADUC,但都没有显示出来。
我们有一个在IIS7(Server 2008 R2)中运行的Web应用程序。 我现在需要允许使用SSL证书进行外部访问,所以某些用户(如公司的所有者)可以在没有VPN的情况下远程使用它。 他们希望最初只向那些特定用户推出外部访问(思考:Windows凭据提示),但是大家仍然需要在内部访问(HTTP),而没有提示。 我已经在服务器上安装了SSL证书,并configuration了公有DNS。 我一直在努力弄清楚如何工作的authentication/授权。 我想我需要禁用匿名authn并设置Windows authn,然后我不断回到'URL授权'在我的研究组的设置; 然而,当我尝试URL authz,(删除允许所有,为特殊组添加允许规则),它内部打破了网站(403.2禁止,我相信这是)。 我想也许在IIS中build立第二个站点指向同一个程序可以工作,但是完全一样的事情发生了(再次用一个新的应用程序池,只是踢)。 所以我想我的问题是,你将如何做到这一点:允许外部访问,限于特定AD组中的用户,同时仍然允许内部访问没有凭据提示? 我如何区分外部HTTPS和内部HTTP授权要求? 我需要将Windows资源pipe理器中的应用程序的全部内容复制到一个新的文件夹,并从中创build我的外部网站? Windows身份validation是正确的select吗? 我遇到过这个,这是指创build一个自定义模块。 虽然听起来像一个解决scheme,但这不是我熟悉的,我只是想知道是否有一个更简单的方法来使其工作: http : //forums.iis.net/p/1182792/2000775.aspx 谢谢!
在Windows Server 2003 Active Directory中,没有用户界面来访问FullName字段 – 请参阅此博客post以获取关于此的讨论,以及“显示名称”与“全名”的不同之处。 在Windows Server 2008 Active Directory中,可以在ADUC的“用户”窗口的“常规属性”部分中看到“全名”字段。 “全名”字段用于全局地址列表中。 我发现在某些情况下,全名字段已经填入了用户名,而不是全名,这意味着用户无法在GAL中find这些同事,因为他们是乱序的。 我想从AD中提取用户名和FullName字段,以便我可以find两个字段相同的所有帐户(我不试图与LDAP查询进行此比较 – 我可以在Excel中提取一次所有的值)。 但是,我无法find任何地方,我实际上是否会提及标有“全名”的字段。 有人知道吗?
有关部署HPC群集的说明(例如TechNet此页面上的步骤1.5)非常清楚,HPC群集节点“必须是Active Directory域的成员”。 活动目录轻量级目录服务提供这个吗? 也就是说,HPC群集可以将AD LDS用于其Active Directory域,还是需要完整的AD DS(域服务)angular色?