后面的故事。 所以我们有一个开发工程师(刚好有权访问域pipe理员帐户)在我们的域上build立了一些DHCP服务器。 这引起了头痛,因为新的DHCP服务器已经在我们的域中被授权并且具有权威性。 这些服务器是临时的,正在转移到另一个第三方站点。 我们已经清理了头痛问题,并制定了一个时间表,在移动之前取消授权。 我的工作是在需要移动服务器时清理服务器,并清理剩余的服务器。 一台服务器已经被分解(angular色被删除并从域中删除)。 这意味着这必须是我的操作顺序(对于第一台服务器): 1.从stream氓服务器中删除DHCP服务angular色。 2.从我们的域删除stream氓服务器。 3.在DHCP mmc中取消对非法服务器的授权。 我宁愿在从中删除angular色之前未授权服务器。 我可以使用其他2台稍后移动的服务器。 继续… 另一个系统pipe理员在我面前工作,她表示担心AD将AD信息/对象与DHCP服务器同步。 我不知道AD同步任何东西到 DHCP服务器,但这个其他系统pipe理员提到它让我(和我的经理)担心。 我的经理希望完全确定在stream氓服务器分解并移出之后,没有AD数据,包括对运行DHCP服务的域帐户的任何引用。 似乎重build服务器(在将它们移到异地之后清除掉安全隐患)不是一种select。 我不知道他们正在运行的Windows Server版本。 所以这个问题: 什么需要纠正或清理的操作顺序? 是否有任何 AD数据(包括日志,虽然他们的位置通常很标准),我需要从分解的DHCP服务器清理? 是否有任何对DHCP服务运行的域帐户的引用,我将在哪里find清除它们的地方?
我有三个域控制器: DC-01 = CORP.LOCAL DC-02 = A.CORP.LOCAL DC-03 = B.CORP.LOCAL 所有这三个复制设置为林中的所有DNS服务器 ,我可以看到每个控制器的DNS控制台中的所有三个区域。 我添加了一个工作站PC-001到A.CORP.LOCAL ,但是我不能从CORP.LOCAL ping它,因为它不能parsing名字。 我错过了什么? 我想现在所有的区域都可以看到对方,我可以从任何名称的地方ping所有机器? 在这个说明中, A和B可以通过名字ping对方和CORP ,但是CORP也不能ping通。 我显然可以在CORP控制器中使用CNAME作弊,但对于我将要join的所有机器来说,这只是一件愚蠢的事情。 我将不胜感激关于如何得到这个工作的任何指针。 作为参考,这是在Amazon EC2上运行的Windows Server 2012域和林。
你好朋友和邻居。 Active Directory问题在这里。 我一直试图不成功地使用dsquery和dsmod将具有某个属性的所有用户添加到某个组。 到目前为止没有运气,因为我对这个工具不太熟悉,或者即使这是处理这个任务的最好方法。 所以,让我先描述一下这个任务,然后希望你们中的一位知识渊博的人能够帮助我: 所有教职员工都有一个employeeStatus属性设置为employeeStatus = faculty 我需要将employeeStatus = faculty中的所有人都添加到名为[email protected]的组中 什么是一次完成这一切的最好方法? 我觉得我在这里错过了一些非常基本的东西。
我试图写一个单一的dsquery,告诉我在过去的26个星期内,哪些系统已经连接到我们的域名,正在运行XP,所以我们可以找出我们需要在未来两个月内逐步淘汰。 我目前面临的问题是,当我做一个dsquery来查找运行Windows XP的系统时,会返回一个系统列表,其中一些我不知道是不是主动的,需要作为AD对象删除(这是另一个问题,请让我最好的做法/安全讲座…一次一件事)。 我使用下面的查询来查找运行Windows XP的系统并将其输出到文本文件中: dsquery * domainroot -filter "(&(objectCategory=computer)(operatingSystem=Windows XP*))" -limit 1000 > c:\XP_Machines.txt 我想添加到这个查询,这将告诉我在上面的输出中的哪些系统在过去的26周内已经连接到networking。 我知道在过去的26个星期里,我可以find没有连接的系统: dsquery computer -inactive 26 但是,我不确定如何在过去的26周内find运行Windows XP系统输出的子系统。 提前感谢你的帮助。 注意:如果有更好的方法使用PowerShell来做到这一点,我也可以这么做。
我有一个关于AD账户的问题,他们设置了PASSWD_NOTREQD。 这个设置究竟做了什么? 从我自己的研究看来,这将导致帐户以两种方式之一运行:A)创build帐户时不需要密码,它会忽略密码策略,始终可以设置为空或B)创build帐户时不需要密码,但如果密码已更改,则必须遵循密码策略。 任何人都可以为我阐明这一点吗? 谢谢!
我可以感觉到Active Directory对象中的“位置”选项卡的用途,我知道我可以手动设置信息,但其旁边有一个“浏览”button,这告诉我可能有一种方法可以预先定义整个“位置树”所有。 如果我的假设是正确的,那怎么办呢?
我已经inheritance了跨多个站点位置的Windows 2003活动目录单个域。 我正在检查configuration,因为以前的pipe理员离开而不留下任何关于他的deviseselect的信 其实我们有: 总部:(大约300个用户)SRVHEAD1 – 保存所有FSMOangular色(vmware基础架构上的虚拟主机)SRVHEAD2 – 全局编录(物理主机位于单独的房间中) BRANCH1 :(大约30个用户)SRVBR1 – GC BRANCH2 :(大约20位用户)SRVBR2 – GC BRANCH3 :(大约10个用户)SRVBR3 – 未configurationGC。 每个分支都通过一个MPLS电路连接到总部。 连接并不总是100%可靠。 总部和分支站点在Active Directory站点和服务中有一个相对站点。 我不明白的是,为什么只有一个GC总部……如果我在BRANCH3和SRVHEAD2上启用GC,该怎么办? 可能有问题? 在总部只有一个GC,如果GC holdin服务器出现问题,我可以重build它从另一台服务器复制吗? 谢谢 !
我有6个Windows 2008 R2域控制器,所有的GC,跨越多个地点(2 + 2 + 2)。 在我的主站点上,我有一个几个月前完成的DC的克隆,通常完全与networking隔离。 今天早上我犯了一个错误的意外连接这个克隆到我的标准networking。 (从不右键点击编辑设置,而不select正确的虚拟机)我把这个连接了25分钟,直到我注意到这个问题。 我在另一个网站上运行了dcdiag ,没有通知特定的问题。 我想帮助看看我是否遇到麻烦,每个Microsoft支持文章如何检测和恢复USN回滚 。 我不完全明白这一点。 这是repadmin的输出:这是今天早上我打开的DC1的克隆。 C:\Users\admin>repadmin /showutdvec DC1 dc=mydomain,dc=local Caching GUIDs. .. mainsite\DC2 @ USN 28895532 @ Time 2014-02-26 12:41:58 mainsite\DC1 @ USN 202723681 @ Time 2014-02-26 12:42:29 C:\Users\admin>repadmin /showutdvec DC2 dc=mydomain,dc=local Caching GUIDs. .. mainsite\DC2 @ USN 28895538 @ Time 2014-02-26 12:42:30 mainsite\DC1 […]
我是新来的Active Directory世界(我知道如何使用它,没有设置:))。 我刚刚从运行Windows Server 2012 R2的Leaseweb购买了服务器,并计划将其用于Active Directory。 它有自己的IP地址,和一切。 我的问题是,我显然不能使用.localnetworking将计算机绑定到域,那么我将如何使用我自己的域设置一个活动目录? 说我自己的example.com,并在我的域名托pipe服务提供商ad.example.com上的DNS设置中创build一个子域名。 是否有可能使用我的Windows服务器上的子域名作为活动目录名称? 寻找一些关于如何使用不在本地networking上的服务器正确设置活动目录的指导。 请让我知道你需要知道什么信息。 先谢谢你!
可以说我的域名结构如下: For the computers: DOMAIN\North\Computers\OU1\PC1 DOMAIN\North\Computers\OU1\PC2 DOMAIN\North\Computers\OU1\PC2 . . . DOMAIN\North\Computers\OU1\PCN DOMAIN\North\Computers\OU2\PC1 DOMAIN\North\Computers\OU2\PC2 DOMAIN\North\Computers\OU2\PC2 For the Users: DOMAIN\North\Staff\User DOMAIN\North\Sales\User DOMAIN\North\Marketing\User 有不同的地区(北,南,东,西)和个人电脑不同的OU。 无论你身在何处,结构都和上面一样。 现在我有一台共享打印机的打印服务器。 设置权限是微不足道的,北部营销人员只能打印到他们的打印机。 是否可以限制基于PC OU的打印机权限? 例如,让我们假设有一台共享的打印机,所有的North \ OU1 PC通常打印到这台打印机。 我希望某个人,无论他们是否从东方访问, 只要他们login到位于DOMAIN \ North \ Computers \ OU1的PC上,就能够使用该打印机进行身份validation。 如果他们在OU2 PC上,他们应该被拒绝。 我不能违反上述模式。 我不允许将访问的东部工作人员join北部的一个小组。 打印服务器是Server 2008,如果这件事。