我正在使用AWS,并且有一个通过VPN连接到本地networking的VPC。 我可以启动EC2实例,将它们放在各种AZ中的各个子网中,并通过内部IP连接到它们。 我也可以join他们的本地域名。 但是,我希望能够在AD域中根据IP地址自动将它们放入AD域中的特定组中。 因此,当我创build图像的新实例时,它将被join到域中,因为它具有特定的IP地址,将被添加到某个组。
我有一些域本地资源组需要: a)改为通用组。 b)改名。 c)将其成员组的用户折叠到该组中。 d)删除(不再需要的)成员组。 这些组目前包含成员组(有时嵌套组)和用户的组合。 最终结果将是只有用户的通用组织。 (所以基本上,这只是整个树结构的崩溃而已。 最好的命令是什么: 首先更改组types和名称,然后重新分配成员。 或者相反:首先是成员,而不是组的重命名/types? 或者没有任何区别? 我找不到一个明确的来源。 有没有可以自动化的工具? 手动做这个工作很多… PS 这是准备域名迁移/淘汰。 通用组(和用户)最终将被转移到新的域中。 这些域在function上与2008年和2012年的DC(如果这有什么区别)AD2003。
我知道如何在本地和基于云的Exchange系统上执行基本的相当高级的任务,但是在尝试使用术语时,我仍然有时会感到困惑。 这是我所知道的: User account 。 包含有关用户信息的Active Directory / Windows Azure对象,用于对系统进行身份validation和访问。 Username 。 用户帐户的唯一标识符。 Domain 。 用于pipe理一组对象。 用于通过电子邮件发送域名的DNSlogging(通常是MX,但其他function也可用于其他function,如自动发现,垃圾邮件检查等)必须configuration为指向邮件服务器。 当在内部使用时,域的名称可以是任何东西,但在互联网上公开使用时,必须通过域名注册商注册,格式为%secondleveldomainname%。%topleveldomain%,但也可以是%subdomainname%。%secondleveldomainname% %topleveldomain%。 User Principal Name 。 显式指定特定域的用户帐户的扩展唯一标识符。 格式是%username%@%domain%([email protected]),这通常被错误地称为“电子邮件地址格式” Mailbox 。 存储所有邮件,联系人,日历,任务,备忘录,其他电子邮件相关数据(收件箱规则等),委派访问信息等的Exchange对象。可以在没有用户帐户的情况下存在,并且可以更改连接的用户帐户。 SMTP alias 。 通往邮箱的“通道”。 如果域名没有注册,邮件只能在内部传送。 邮箱可以有很多SMTP别名,并且都可以收到邮箱,但是其中一个是主邮箱,用于发送邮件(尽pipe为什么你不能从多个邮箱发送邮件)。 Display Name 。 邮箱的非唯一且易于理解的标识符,通常用于通知收件人谁是发件人。 Email account 用户帐户+邮箱。 (我知道这些术语不是特定于微软的产品,有些是用于一个以上的东西,但我专注于这些,我也可能忘记添加其他东西) 另外,我不太确定如何引用特定的电子邮件帐户。 目前,我使用以下内容: “@domain”用于具有多个“用户名别名”(?)的电子邮件帐户。 “sendaddress @”用于具有多个“域别名”(?)的电子邮件帐户。 具有多个“用户名别名”和“域别名”(?)或所有者的电子邮件帐户的“显示名称”。 上述标识符不能清楚地传达所有权的电子邮件帐户的“人员帐户”。 问题在于,它们不是“静态的”(也就是说,它们都可以被改变),并且在使用UPN引用时与SMTP别名混淆太多,所以信息在将来可能已经过时。 任何人都可以澄清这是否是正确的,并提供更好地使用术语的更正和/或build议?
我有一个AD用户帐户被重复和频繁locking,我已经能够跟踪locking到Exchange服务器CASarrays。 然而,我对如何继续调查感到不知所措。 Exchange(2013)服务器上的事件日志指示locking源自msExchangeFrontEndTransport.exe,但不指示原始身份validation请求来自何处。 我真的想知道以下任何一种(越多越好):auth IP /计算机名称的来源,auth方法的来源(即webmail,activesync,Outlook客户端等)。 从我已经能够挖掘的事件日志没有指出任何有助于跟踪不良authentication请求的发起点的任何内容。 我90%确定我排除了用户的任何便携式设备,因为我们一度closures了所有用户的设备,并且仍然发生了locking,这已经发生了几个星期,每天有超过600次validation尝试。 我已经将用户帐户重新命名为解决方法,但是我真的想确定这是从哪里来的。 这是唯一以这种方式遭受痛苦的原因。 任何想法将不胜感激!
在我工作的地方有一个Active Directory / Exchange / Outlook设置(对不起,我不是微软的专业人士),我试图设置一个分发列表来像一个邮件列表。 这意味着用户应该只能够自己添加/删除,另外我也希望只有特定安全组中的用户才能添加自己。 我已经完成了这一点,通过给予适当的组“允许”添加/删除自己作为成员“的分配列表。 完成后,用户可以通过打开ADUC(Active Directory用户和组),将自己添加到组中,然后执行以下任一操作: 右键单击他们的用户帐户,select添加到组,然后在生成的对话框中input适当的通讯组列表。 或者双击他们的名字进入属性,然后是“成员”选项卡,然后单击添加并像以前一样键入通讯组列表。 然后,将其从组中删除的唯一方法是将其从“成员”选项卡中删除。 问题 问题是大多数用户没有安装ADUC。 如果他们试图通过Outlook地址簿以正常的方式将自己添加到组中,则即使他们仅添加自己 , 也会遇到以下权限错误。 有没有办法让用户不使用ADUC而将自己添加到通讯组列表中,也没有得到上述错误信息?
背景 :多年来,我们已经有一个非常轻松的AD密码政策。 用户有'密码永不过期'设置,我们没有执行力量或任何东西。 我们现在要纠正这个问题,并且在AD中打开了强密码的要求,并且设置密码在180天后过期。 值得注意的是,我们的电子邮件系统是Zimbra,它通过LDAP向AD进行身份validation 问题 :我找不出一种强制用户更改密码的方法,但让他们继续使用当前密码一两周,直到他们都可以login到域计算机。 任何我尝试的事情都会影响到我一做就locking用户。 所以说一个经理本周正在开会,直到下周才会回来。 一旦我尝试实施这个政策,他就停止在他的电话上收到电子邮件,直到他回到办公室并重新login 尝试解决scheme : closures密码永不过期,打开“用户下次login时必须更改密码”。 结果是当前密码被视为过期,AD拒绝通过ldap授权用户(该用户没有电子邮件) 尝试通过closures“密码永不过期”来欺骗它,将pwdLastSet设置为-1,这使得它们的最后一次密码改变,然后设置“用户必须在下次login时更改密码”。 结果:pwdLastSet被设置为0 [永不]并且密码被认为已经过期,并且不会authentication用户 有什么办法来完成我想要做的?
我把这个问题放在超级用户上,但从没有回应的angular度来看,我认为我选错了地方,所以我在这里交叉发帖。 我试图让DA成立,这是一个主要的痛苦。 我已经安装了DA服务器(Edge设备后面带有单个适配器的计算机),显示器上的所有东西都是绿色的,一切似乎都在那里工作。 我已成功将GPO部署到客户端,并且客户端正在尝试连接。 但是,它不会连接,并且“Get-DaConnectionStatus”在说“NameResolutionFailure”。 所以我正在通过本指南( https://technet.microsoft.com/en-us/library/ee844114%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396 )来尝试和理清连接问题。 客户端创build一个IP-HTTPS隧道,并且能够从客户端ping DA服务器上的IPHTTPSInterface,所以它可以到达服务器(注意:我不能从服务器ping客户端)。 我遇到问题的地方在于该指南第一部分的第6步,它说使用命令“netsh advfirewall monitor show mmsa”。 该命令的结果是“没有SA符合指定的标准”。 关于为什么会出现这个问题的任何想法,以及如何解决?
我最近成立了一个组pipe理服务帐户,以消除密码轮换的头痛。 帐户创build顺利。 我能够build立一个服务作为gMSA运行,并且帐户被授予“作为服务login”权限。 我也有一些计划的任务,我需要转换,但每当我尝试授予“login作为批处理服务”或“创build符号链接”权限(通过secpol.msc)到帐户我收到以下错误: “发生扩展错误,无法保存本地策略数据库。” 我已经在几台机器上试了这个,都有相同的结果。 这应该是可能的,如果是这样,有什么build议从哪里开始挖掘解决scheme? 所有的服务器都是Windows Server 2012 R2 SP0。 提前致谢。
有没有办法创build一个声明,将返回所有组和超级用户组是一个用户是一个MemberOf的DN? 目前运行Windows 2012 R2 ADFS。 例: 我有一个像下面这样的组织结构。 GrandparentGroup ParentGroupA (memberOf=GrandparentGroup) ParentGroupB (memberOf=GrandparentGroup) GroupA (memberOf=ParentGroupA) GroupB (memberOf=ParentGroupA) GroupC (memberOf=ParentGroupB) GroupD (memberOf=ParentGroupB) UserA (memberOf=GroupA) UserB (memberOf=GroupA, memberOf=GroupB) 我想在UserAlogin时返回GroupA,ParentGroupA和GrandparentGroup的全DN。 如果build立一个索赔是不可能的,还有其他的是与ADFS处理这种情况?
任何帮助将不胜感激! 请问,如果你不明白的东西。 我想尽可能地解释它。 我试图编辑的值是(CN = DS-Replication-Get-Changes-All)。 controlAccessRight的rightsGuid是1131f6ad-9c07-11d1-f79f-00c04fc2dcd2。 我已经使用PowerShell更新AD中的属性,但不知道如何更新configuration或模式分区中的权限。 我已经使用下面的脚本更新pipe理员权限,以便能够更改密码等…但现在我需要弄清楚如何使用configuration和模式分区。 Import-Module ActiveDirectory #Bring up an Active Directory command prompt so we can use this later on in the script cd ad: $acl = get-acl "ad:DC=corp,DC=domain,DC=net" $group = Get-ADgroup 'AD Service Administration Tasks' $sid = new-object System.Security.Principal.SecurityIdentifier $group.SID # The following object specific ACE is to grant […]