在Windows Server 2008 R2 AD中,是否可以从用户对象获取用户pipe理的OU列表,还是需要parsingOU列表? (即,在OUpipe理的User对象上是否有表示,还是仅在OU上有var)
我正在尝试在我的networking的Active Directory和组策略中使用OU。 但是,我有点困难,想办法组织我的组织单位,这样我可以有单独的部门,而且有一个更高层次的pipe理层,用户可以获得组织层次较低的部门的所有权利。 假设我有4个组织单位 销售 营销 会计 行政人员 每个部门都有自己的驱动器映射,这是我通过部门OU中的单个组策略设置的。 但是,这个结构的一个例外是执行部门。 这些是公司的领导者,所以我希望这个OU的用户能够访问所有的驱动器映射,而不仅仅是一个驱动器。 但是,由于一个单位只能有一个家长,所以我不知道该如何设置,以便行政单位可以inheritance各个部门的驾驶制图政策。 一个想法是每个驱动器映射都有单独的策略,然后将驱动器映射策略简单地链接到我想要访问的每个部门。 在这种情况下,Executive OU将有4个链接,每个驱动器映射一个。 虽然这在某种程度上是有道理的,但听起来并不是最可维护的解决scheme。 每次添加一个部门,或者如果给现有部门增加额外的政策,我也需要在执行部门的OU中复制这个链接。 另一个想法是将安全组作为每个OU中的对象,并将部门用户分配给安全组而不是OU(例如DOMAIN \ Marketing)。 但是,这看起来并不像我所期望的那样工作。 一旦添加到相应的OU,组策略似乎只应用于用户,并且它们所属的安全组无关紧要。 我能想到的唯一的其他解决scheme是简单地将部门策略从OU中移出,并依靠安全筛选将策略应用于不同的组。 但是,这似乎并不是大多数示例和教程处理其策略对象的方式,而是像上面列出的那样支持这些部门OU。 什么是我组织我的组策略对象来完成我所追求的正确方法?
我一直负责改进目前的图像部署。 现在我们在成像之后进行大量的手动设置,以减less获得新成像机器的用户的工作。 我想尽可能自动化。 我们有很多短时间的志愿者和实习生,所以节省的时间很快就会加起来。 一个任务是在Word和Excel中设置默认保存位置。 一些用户具有用户HomeDrive环境variables集,但不是全部(并且都不是短时间的学生)。 所有用户都有UserSharedFolder ActiveDirectory属性集。 这不会保存为环境variables。 理想情况下,默认保存位置将被设置为此AD属性的值。 每个用户都有所不同。 有关如何pipe理这个的任何build议? 我确定默认保存位置在registry中。 我想使用组策略首选项来设置它,但是我无法从GPP访问Active Directory属性。 我如何在脚本中访问这个? 它将需要运行在用户的上下文中。 我将无法访问大多数机器上的Powershell ActiveDirectory模块。 有没有另外的方法来做到这一点更有意义?
我有一个问题,集团policys将尽我所能来形容下面的问题: GPRESULT,ADSI和GPT.ini显示与AD / SYSVOL版本不匹配的组策略,SYSVOL版本始终为65536.但是,Gpresult也显示该策略已应用。 组策略pipe理将AD和SYSVOL版本显示为匹配。 这发生在新创build的GPO上。 由于我使用的是pipe理员帐户,而且服务器已经预先configuration,所以我的想法已经用完了。 希望有人能把我指向正确的方向。
最近是否帮助DBA解决了一个似乎与无效的SPN有关的问题。 发现很多SQL服务帐户根本没有设置SPN,导致NTLM身份validation。 我已经将SPNconfiguration添加到我们的构build过程中,但是不确定是否返回到使用NTLM的现有系统并configurationSPN以允许Kerberos身份validation会破坏任何内容。 是否有任何configurationMSSQLSvc SPN允许Kerberos身份validation的常见情况会破坏正在运行NTLM的问题没有问题的现有系统? 以下是我正在使用的代码: #Query to identify authentication type for various connections on a SQL server $query = "SELECT s.session_id, c.connect_time, s.login_time, s.login_name, c.protocol_type, c.auth_scheme, s.HOST_NAME, s.program_name FROM sys.dm_exec_sessions s JOIN sys.dm_exec_connections c ON s.session_id = c.session_id" #Everything comes back NTLM #Source: https://raw.githubusercontent.com/RamblingCookieMonster/PowerShell/master/Invoke-Sqlcmd2.ps1 Invoke-Sqlcmd2 -ServerInstance ServerInQuestion -query $query #Get a list of SPNs […]
我有两个AD网站:Hub和Spoke。 ISTG被closures,并且没有启用ISTG的情况下将新的DC放入站点。 什么是正确的操作顺序来设置手动单向NTDS连接? 例如 如果我将“站点和服务”重点设置为辐射站点,则应添加哪些NTDS连接? 我应该将连接添加到站点和服务中可见的“辐射”站点吗? 还是应该添加连接到集线器站点,同时在此DC上设置焦点? 反过来 如果我将“站点和服务”重点设置为DC站点,则应添加哪些NTDS连接? 我应该将连接添加到站点和服务中可见的“辐射”站点吗? 或者,我应该将连接添加到集线器站点,而在此DC上设置焦点? 我的想法是,如果我错误地做了这两种情况之一将会发生: 双方互相“认识”,但不会主动推,因为他们期望推送服务器这样做。 (提示:推送服务器不知道推送更新,因为它没有被configuration为这样做) 如果我只是创build双向连接,那么我可能浪费时间,并在AD中造成怪异。 例如,如果我在“AD网站和服务”的中心站点中创build一个站点,并在向各方设置焦点时执行相同的操作,则将build立4个连接。 不知道会发生什么…
我正在实施用户权限pipe理解决scheme,并且需要审核我们AD中的所有用户。 目前由于拥有两个空白属性(sAMAccountName&userPrincipleName)的帐户而下降。 我已经尝试使用以下LDAP查询来查找此帐户: (&(objectCategory=person)(objectClass=user)(!sAMAccountType=805306370)(sAMAccountName="")) 但不幸的是,这个查询找不到任何东西。 什么是最好的方法来find这个帐户? 提前致谢。
我目前已经设置了我的Windows DNS转发到OpenDNS。 但是,OpenDNS中的所有stream量都是从本地Windows DNS服务器的IP显示的。 有什么办法可以使单个设备看起来像本地DNS,如果他们没有find他们正在寻找OpenDNS的东西。 这样 – OpenDNS会看到设备本身,而不仅仅是Windows DNS服务器。 或者有没有办法build立一个公共的DNS和一个私人的DNS? 我的所有设备不共享一个IP – 但是开放的DNS看到来自我们的本地DNS服务器的dns请求,这是活动目录所需的。 在此先感谢您的帮助!
我们正在转移到Google(Apps)for Work。 其中一个很酷的function是“Google Apps Directory Sync” https://support.google.com/a/answer/106368?hl=zh_CN ,它根据“Google Apps Directory Sync”自动configuration用户,群组和非员工联系人用户数据在您的LDAP服务器,如Microsoft Active Directory“。 我想知道是否有可能与微软帐户相同的东西,或类似的东西? 如果不是通过Active Directory,然后通过一些其他的API? 只是为了澄清,这听起来像我说'微软账户'时,我是模糊的,但我的确是这个意思。 http://www.microsoft.com/en-us/account/default.aspx“Microsoft帐户”是Windows Live ID的新名称,是“您用于Microsoft设备和服务的几乎所有内容”。 任何意见,如何创build和pipe理这些微软帐户可以自动化非常感谢!
在我的工作秘书使用电子表格,列出名称,电话号码和员工位置查询信息,如果有人问。 所有这些信息都位于AD,但问题在于我们是一家发展迅速的公司,人们经常更换地点,工作职位,有时甚至更换电话号码,所以她的电子表格经常过期。 我是一名低级技术人员,但是我的老板向我build议,我应该尝试一些她可以从计算机运行到AD的批处理脚本,将这些信息转换成csv,然后抛出转换成excel文件。 我对脚本不是太熟悉(在学校做了一些python,但数量不是很大),所以我想我只是在正确的方向寻找一些指针。 我几乎得到了脚本需要做什么,我只是不知道有什么命令与AD交互,并从中获取信息。 是否可以用批处理脚本来做到这一点? 她是否需要进入AD的某些访问权限才能从计算机上运行?