我刚刚完成了70-294套件,我留下了一个巨大的知识差距: 教练说,改变15秒后复制取出的地方,以及任何额外DC的3秒增加。 同样,一些更改触发站点之间的紧急复制(安全相关)。 好吧,这使得sence。 那么为什么在AD站点和服务中,站点间链接对象具有复制计划的属性? 是否有另一个复制发生,无论改变?
当我安装Microsoft Small Business Server 2008时,它会自动安装DNS和DHCP。 然而,我们根本不需要在我们的服务器上使用DNS服务器(我们真的只用它来存储文件和Active Directory)。 我如何去卸载DNS,只是指示服务器使用ISP的DNS服务器,而不是当前处理DNS的服务器。 我也想远程执行此操作,因此需要通过服务器远程维护连接。
我们有几个外部信任的多域Active Directory林。 假设我们有名为company.com的森林根域以及该森林中的一些子域 – subsidiary1.com , subsidiary2.com和subsidiary3.com 。 我们正在创build防火墙规则,限制从子公司的networking到company.com的域控制器的通信。 是否有来自Microsoft的文章描述了AD基础架构本身正确运行所需的工作站/成员服务器与同一森林的其他域的域控制器之间所需的networking连接(防火墙中打开的端口)? 关于这个主题的一些信息在这里: 如何为域和信任configuration防火墙 域和森林信托如何工作 但是,这些文章不回答我的问题 – 从所有森林域的所有工作站(和成员服务器)需要访问林根域的域控制器? 我知道,如果不能从工作站访问森林根域(以及除用户和计算机所在的域之外的所有其他域)的DC,大多数情况下(例如MacOS工作站的域authentication除外)工作正常,但是我希望查看来自微软的任何官方信息,或听取有长期运行此类configuration经验的pipe理员的意见。
请告诉我如何确保远程桌面用户无法将软件安装到远程login的Active Directory服务器上。 一些背景: 我有一个客户端的服务器安全是非常搞砸的。 我通常比pipe理员更像程序员,所以我需要一些帮助。 他们正在使用他们的Active Directory服务器来允许远程销售人员将远程桌面连接到他们的networking中,从而使Active Directory服务器成为4名远程员工的桌面。 这对我来说似乎是一个坏主意。 我宁愿为这些远程用户设置一个单独的服务器。 不过,更糟糕的是,我只是使用其中一个销售人员的凭据login,而且我能够使用他们的凭据安装firefox! 所以,实际上,每个外部销售人员都具有将应用程序安装到Active Directory服务器的pipe理权限! 上个星期,我从服务器上删除了一个病毒,实际上是把这个业务关了起来 今天,还有另外一种病毒发送大量电子邮件(将其公司列入黑名单)。 我打算重新安装这个服务器,并试图locking它,但直到周末,我试图至less弄清楚如何使这些远程销售人员无法安装软件到服务器。 事实是,我没有太多的Active Directory的经验。 我已经locking了没有Active Directory的Windows服务器(通过“计算机pipe理>用户”控制台)。 当我进入“Active Directory用户和计算机”。 我没有看到销售人员是pipe理员组的成员。 而当我查看每个组(他们是其成员)时,我无法find任何权限设置,以显示他们为什么能够在服务器上安装软件。 你能指导我一下吗? 我必须俯视一些必要的东西。 请指教。 编辑: 这里是组,用户是一个记忆: Name: ActiveDirectoryFolder Custom Sales All domain.com/Users Domain Users domain.com/Users Remote Desktop Users domain.com/Builtin Remote Users domain.com/Builtin
我有两个域控制器。 一个是失败的复制。 它已经过了墓碑到期,所以我已经读过它,必须降级并重新升级。 我无法再login到此服务器,因为复制失败,不知道我是否可以访问本地pipe理员帐户。 有没有办法解决复制没有降级? (目录服务还原模式?) 没有RDP的降级/升级的正确方法是什么?
开发通过时间表任务运行的脚本; 它的目的是针对less数域控制器,并连续(每2秒)做一个针对特定DC的ldap查询,并将输出转储到csv查找。实质上,我正在执行以下步骤。 $root = [ADSI]"LDAP://CN=$TargetDCName,OU=Domain Controllers,DC=Fabricom,DC=com" $search = [adsisearcher]$root $Search.Filter = "(&(objectClass=computer))" $Search.SearchScope = "base" $Obj = $Search.Findone() $Obj = $Obj.Path $DateFormatted = Get-Date -uformat "%Y-%m-%d_%I-%M-%S-%p" $Data = $DateFormatted + "," + $TargetDCName+ "," + "$Obj" Add-Content -Path $Path -Value $Data 现在我越来越怀疑了; 1.)我上面做的事情是否与LDAP连通性检查一样有意义,因为我使用与ROOT / Base相同的DC来查询DC(以上代码是否确认LDAP连接存在于来自任何应用程序的特定DCconfiguration正确吗?) 2.)这个问题是关于powershell,如何获取PowerShell中的LDAP错误日志? 我想testing一个不存在的DC或closures的DC,我应该期待什么日志事件以及如何捕获它。 3.)与问题2相同,如果DC有复制问题,是否会影响LDAP连接? 应该logging什么日志,以及如何? 以下是一些复制错误,这些事件是否会导致LDAP连接问题? ** – >(1256)远程系统不可用。 有关networking故障排除的信息,请参阅Windows帮助。 – […]
我有一个大型的AD设置,其中一个已经被解雇的pipe理员,因为未知的原因删除了主题组。 经过一段时间的search,但除了解释什么小组和警告不删除它,我找不到任何东西。 SID是已知的,所以我想知道是否我创build了一个具有相同名称和SID的新组,是否足以解除设置,或者组删除是否会导致AD架构残骸? 解决这个问题的一系列步骤(除了find那个做这个并造成严重伤害的天才之外)是值得欢迎的 谢谢
我们在域USER-2014上命名了一台新电脑。 该计算机是为那些已经在名为USER的域上有一台计算机的人devise的。 我们停用了名为USER的旧计算机,现在正在将USER-2014重命名为USER。 当我尝试重命名时,我收到一条消息“尝试将计算机重命名为”USER“时出现以下错误:该帐户已存在。 这是有道理的,因为有一个名为USER的活动目录中的计算机。 从活动目录中删除名为USER的计算机可以吗? 我假设这将允许我将USER-2014重命名为USER。 我担心Windows生态系统中的某些东西仍在引用它,并删除它,将会有一个引起问题的悬挂引用。 如果我可以将USER重命名为USER-OLD,这也可以解决我的问题,但在Active Directory中找不到重命名function。 这里的最佳做法或合理的build议是什么? 任何事情将不胜感激。 我很新的networkingpipe理。
是否有可能只委派给用户一个足够的权限才能够使用远程PowerShell会话? 我有一套有限的脚本,我想从一个中央位置运行一组使用指定服务帐户的服务器。 我不想要的是这个服务用户能够做一些事情,如login到电脑。 这可能吗? 删除login权限是否也删除了执行远程PowerShell会话的权限?
几个月前我们build立了一个简单的Windows 2008 Server园区,并build立了一些组策略。 他们中的大多数似乎工作正常,但偶尔有一个或更多的感觉没有被应用。 以组策略为例,我们terminal服务器上的空闲时间超过12小时的用户的日志。 我收到了很多报道,即使我知道在某个时候已经有效,人们也不会被踢出去。 此外,调整提前多less天的用户应该被告知其更改密码的时间似乎没有被应用。 我知道“gpupdate / force”,而且我们已经改变了组策略已经有几个星期了,所以问题不仅仅是复制问题。 我如何查看特定的机器以获取所应用的组策略列表? 有什么工具可以使组策略更容易吗? 与GP工作时的任何提示?