我注意到在Windows Server 2012中使用组策略将打印机部署到特定用户的两种不同方式。第一种方法是为每个组创build单独的GPO,第二种方法是将所有打印机添加到一个GPO,然后使用安全设置来确定谁可以打印它/将部署到谁。 第一个设置的问题是networking上的许多打印机只需要部署到一个用户,因此我需要为每个打印机组创build大约30个GPO。 其中许多只包含一个人。 第二个选项似乎更适合我的需要,但使用此选项,打印机未部署到的人不能通过服务器连接到打印机,即使它在目录中列出。 我宁愿让人们连接到没有根据需要部署到他们的个人电脑的打印机。 我的问题是,是否有任何方式来设置它,使其只能部署到某些用户,但其他人可以根据需要连接到它,而不必为每个用户在办公室中为打印机创build单独的GPO。 有任何想法吗?
在我学习AD DS生态系统时,我遇到了这个定义[link] : 通过使用WindowsServer®2008 ActiveDirectory®轻型目录服务(AD LDS)angular色(以前称为Active Directory应用程序模式(ADAM)) ,可以为启用目录的应用程序提供目录服务,而不会产生域和林的开销,整个森林的单个模式的要求。 我不太明白这是什么意思最后一句话。 上个月我第一次开始使用AD DS,现在我确保了很多意义。 我正在展示和总结你的知识和我所了解的内容,以便了解我目前的知识: 目录:结构。 目录服务:目录的pipe理员。 就像一个数据库pipe理器,但为目录devise和增强。 X.500是定义目录服务的最被接受和已知的标准协议集合。 LDAP:用于定义通过TCP / IPnetworking工作的目录服务的最常用和已知的协议。 广告 AD是一个Microsoft数据库,用于存储用户login和组信息以及驱动组策略和其他应用程序软件的configuration信息。 ( Active Directory解释 ) AD DS: 微软的目录服务器。 ( 什么是Active Directory域服务,它是如何工作的? ) 一套服务和应用程序使Microsoft能够通过networkingpipe理资源,用户,authentication,授权等。 AD LDS:属于AD DS的目录服务。 AD定义我也已经知道:域,域控制器,树,森林和命名空间。 架构:它定义目录内的对象类结构。 目录启用的应用程序: 启用目录的应用程序是使用命名或目录服务的应用程序。 ( http://docs.oracle.com/javase/jndi/tutorial/getStarted/concepts/java.html ) 现在,“ 你可以为支持目录的应用程序提供目录服务,而不会导致域和森林的开销以及整个森林中单个模式的需求 ”是什么意思? 什么是单一模式? 为什么这是一个优势? 提前致谢。
在Windows Active Directory(与Exchange 2010有关)中,我不确定mail:和proxyAddresses:属性之间的语义差异。 据我所知, mail:是一个值,而proxyAddresses:是多值的,(除了包括非SMTP地址的可能性)允许一个值以SMTP开始作为主地址和几个值以smtp作为辅助地址开始。 我想我记得在以前版本的Windows和/或Exchange中,主proxyAddresses总是与mail属性保持同步。 但我现在注意到,这些不再自动保持同步(取决于如何编辑数据)。 所以有可能是我有一个用户 mail: [email protected] proxyAddresses: SMTP:[email protected] proxyAddresses: smtp:[email protected] 因此,用户发送的任何邮件都将使用<[email protected]>作为发件人地址; 发往<[email protected]>或<[email protected]>传入邮件将在该用户邮箱终止; 但<[email protected]>哪里起作用? 所以我有的问题是 使用mail属性有没有特定的用途? 是否有意义,有不同的mail:和proxyAddresses:SMTP条目如上? 如果前面问题的答案是“否”:我在做什么错误导致mail:和proxyAddresses:SMTP不再保持同步?
题。 我有一个Windows AD域与两个DC。 当我的“主”域服务器脱机时,我发现名称parsing变得非常不可靠。 我怎样才能解决这个问题? 我运行了两台Windows Server 2012标准服务器,都是域控制器,DNS服务器和DHCP服务器。 在客户端,我的客户端使用DHCP(来自上述服务器),并且他们获得的DNSconfiguration将一个域控制器设置为首选,另一个为备用。 如果我closures“首选”域控制器作为testing,那么互联网浏览变得非常缓慢。 加载页面往往失败,我必须经常刷新,才能成功加载页面。 我认为DNS查找以循环的方式发生,所以我假设客户端首先尝试首选DNS并失败。 然后当我刷新,它尝试交替并成功。 但是我不确定,这似乎是一个非常笨重的系统: 问题A.为什么当主DNS失败时客户端不会自动尝试备用DNS? 这是2015年。如果我必须手动进行刷新(有时是两次,有时甚至是五到六次)以使互联网正常工作,那么有什么意义? 我有一些configuration错误吗? 问题B:如果我从客户端的命令提示符执行nslookup google.com ,只是尝试联系主DNS而超时。 无论尝试多less次,它都不会尝试交替。 为什么是这样? 问题C.是否有更好的方法来设置,以便DNS故障转移更加透明和自动? 主DNS服务器在线时,一切都像黄油一样顺畅。 当我不得不切换到我的“辅助”DNS服务器时,一切都变得缓慢和笨拙。 我不认为这是预期的devise。 (我知道“主要”和“次要”域服务器的想法现在已经被弃用,并且所有的域控制器都被认为是平等的 – 更为重要的原因是,为什么我不明白为什么我应该遇到这些问题,如果一个控制器下)。
您好有一个Ubuntu框设置login到AD。 我可以login到AD使用用户名不匹配本地用户名,但是我有一个本地用户名,也存在于AD,我希望能够以该用户login到AD。 我已经尝试了用户@域和域\用户,但都没有工作。 如果我使用没有任何域的“用户”login,那么它在本地login。 /etc/sssd/sssd.conf [sssd] services = nss, pam config_file_version = 2 domains = AD.HERE.COM.AU [domain/AD.HERE.COM.AU] id_provider = ad access_provider = ad # Use this if users are being logged in at /. # This example specifies /home/DOMAIN-FQDN/user as $HOME. Use with pam_mkhomedir.so override_homedir = /home/%d/%u # Uncomment if the client machine hostname doesn't […]
我已经尝试了几天来让这些说明起作用,但是尽pipe如此,我无法join我的域名。 当我执行realm discover ,我能够看到我的领域就好: [root@centos5 ~]# realm discover home.domain.com home.domain.com type: kerberos realm-name: HOME.domain.COM domain-name: home.domain.com configured: no server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common [root@centos5 ~]# 但是当我尝试join时,在被要求input密码后,我得到以下信息: [root@centos5 ~]# realm join -U user home.domain.com Password for user: See: journalctl REALMD_OPERATION=r158905.22733 realm: Couldn't join realm: Joining the domain […]
我是一名Unixpipe理员,他也必须使用各种MS Windows服务器。 对于各种不同的任务,使用我熟悉的Unix工具可以提高工作效率,而且很长时间以来,我一直在我的本地工作站上使用Cygwin。 现在,我想在某些Windows服务器上设置Cygwin,这样我就可以通过SSH进入他们,并使用相同的工具进行pipe理任务。 在之前的版本中,Cygwin会将Windows映射到POSIX用户和/etc/passwd和/etc/groups文件的权限,但现在它直接使用域控制器上的Active Directory来validation用户身份。 Cygwin常见问题解答已更新, 在域上设置SSHD的说明: 首先,创build一个名为“cyg_server”的新域帐户。 此帐户必须是pipe理员帐户,因此请确保它在“pipe理员”组中。 现在创build一个域策略,传播到所有应该运行sshd服务的机器上。 此域名政策应给予“cyg_server”帐户的以下用户权限: Act as part of the operating system (SeTcbPrivilege) Create a token object (SeCreateTokenPrivilege) Replace a process level token (SeAssignPrimaryTokenPrivilege) 我有AD域控制器(在Windows Server 2008 R2上运行)的pipe理员访问权限,我创build了cyg_server 域帐户作为Administrators组的成员。 但是,我不太了解Windowspipe理,请遵循其余的说明。 我认为“域名政策”是指集体政策,但我真的不知道有关集体政策的事情。 我认为这个问题似乎有关,但是没有足够的细节来利用它。
在SFU和IdMU被微软认为不被使用的情况下,如何在Active Directory中以可扩展和可靠的方式实现RFC2307属性的自动化和pipe理?而在Server 2016中将不可用? 我的目标是在Active Directory中创build用户或组时自动设置uidNumber,gidNumber,unixHomeDirectory和loginShell。 将用户添加到组时,还应将该用户添加到该组的memberUid属性中。 我已经考虑过使用自制的Powershell或者VB脚本,但是当多个pipe理员使用高可靠性要求的生产系统中的数以千计的用户使用它时,感觉并不是非常可扩展的。 我觉得这应该是一个普遍的问题,应该有好的解决办法,但是我找不到。
我最近configuration了活动目录委托,并在一个特定的OUinheritance权限从所有用户消失,除了我最近创build的testing。 非用户是受保护的组的成员,如:企业pipe理员,架构pipe理员,域pipe理员,备份操作员等。 如果权限是inheritance的,或者即使直接将它们应用到对象,也没关系。 我已经尝试将用户移出OU并将其移回,但问题仍然存在。
目标 使用户能够使用其Active Directory用户名和密码login到Office 365。 细节 AD:一个本地域(2012 R2)和一个受信任域(2003)。 AD Connect:同步来自两个域的用户,但只能从本地域同步密码。 我已经检查,在受信任的域用户创build为iNetOrgPerson不是像本地域中的用户types。 有没有办法排除这个问题?