尝试推出组策略更新时,我最近遇到了问题。 我试图应用的更新基本上只是更新驻留在用户的PC上的.txt文件中的参数。 这些.txt文件用于控制我们域中大多数用户使用的程序。 这就是说,当我尝试通过发出以下命令更新我的电脑: gpupdate /force 或者,如果我注销并重新login,我的.txt文件已成功更新。 我检查了有关组策略的Windows事件查看器日志: Applications and Services Logs/Microsoft/Windows/Group Policy/Operational 并发现大量的日志报表。 它显示我的帐户详细信息,显示我已连接到活动目录,并列出适用的组更新。 我注意到的一件事很奇怪的是: 查看我的适用更新列表: 它还在日志中列出以下内容: WOC_Updates是我想申请的政策。 这是一个程序来执行必要的PC更新。 在受影响的PC上,我看到相同的帐户详细信息,它显示我已连接到活动目录,并列出适用的组更新。 但是,它列出了一组不同的适用组更新: 它也没有列出“启动脚本扩展处理”。 像在上面的屏幕截图中一样,就像成功的PC一样。 所有用户都在同一个域中,对被访问的位置具有相同的权限。 我是这个领域的新手,所以从何处开始的任何帮助将不胜感激。 谢谢! 编辑:添加GPO设置的屏幕截图:
我正在实施DNS策略,为某些任务编写PowerShell脚本,当然,我不想将这些任务安排为域pipe理员; 我想使用最less特权的服务帐户。 事情是,我似乎无法弄清楚需要什么,以及在哪里。 AD包含DnsAdmins组,但这还不够。 DNS策略组件 DNS策略主要有3个新要素: 区域范围 客户端子网 政策 区域范围是区域本身的一部分,所以在集成了AD的区域中,它们将与该区域一起复制。 但客户端子网和策略不存储在AD中,因此它们不会被复制,并且没有目录分区,例如您可以检查或设置权限。 示例问题 试图创build一个客户端子网条目,与域pipe理员帐户正常工作,给我一个关于检查内部exception详细信息的神秘错误。 这样做给我一个WIN32 1011错误: The configuration registry key could not be opened. 谷歌search错误是相当无用的,它永远不会说它是哪个registry项。 这是一个正常的域用户帐户,但是是DnsAdmins的成员,没有其他特殊的权限。 该帐户可以读取 DNS客户端子网就好了。 但是添加一个失败。 相比之下,不是DnsAdmins成员的域用户无法读取客户端子网条目(权限被拒绝)。 码 # Read a Client Subnet Get-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry' # Add a Client Subnet Add-DnsServerClientSubnet -cn MyDC -Name 'My_CS_Entry' 所以缺less任何文档,我不知道如何正确地委托这个权限。
我一直负责自动化我们禁用/删除旧电脑。 不幸的是,我发现我为这项任务提供的数据有很多错误,而且我遇到了validation它的问题。 这里的要求是计算机账号必须存在,不能重复,不能是服务器的操作系统,电脑的账号密码在最近10天内不能重置。 我已经能够单独validation所有这些,但是当我尝试将validation结合到一个脚本中时,我失败了。 具体来说,我无法通过重复的数据步骤。 这里是代码: $file = "D:\Transcripts\ADPCverify\" + (get-date -Format yyyymmdd-hhmmss) + ".txt" start-transcript -LiteralPath $file $date = Get-Date $computers = Get-Content D:\Content\ADPCverify\unverified.txt | sort-object -unique $list = Get-Content D:\Content\ADPCDisable\computers.txt $name = 'null' ForEach($computer in $computers){ $prevname = $name $name = (Get-ADComputer -Identity $computer -Server server).name $PCObject = Get-ADComputer -Identity $computer -Server server […]
我有一台Windows Server 2012的机器,我创build了存储在我的桌面上的VHD磁盘。 该磁盘由Bitlockerencryption。 但是,当我装入磁盘并inputencryption密码时,其他用户(pipe理员)也可以访问它上面的文件。 有没有办法阻止其他用户(甚至pipe理员)访问该驱动器?
简短的问题 ; 所有的客户端都需要能够与多站点域中的所有域控制器通信吗? 背景:我正在尝试将现有域扩展为多站点域。 我已经做了很多关于微软文档的阅读,但是一些要求和技巧对我来说还不清楚。 一切都是Windows Server 2012 R2。 为了解释一下我们有什么,我们有一个现有的网站,在一个单独的pipe理networking中有两个域控制器。 然后,我们有大约100个客户端服务器在不同的客户端networking中,都可以访问托pipe域控制器的pipe理networking。 我们称这个域名为“int.company.com”。 现在我们要在第二个位置设置客户端服务器,其中一些服务器将运行现有站点的服务重复(应用程序级的DR复制将被实现),其中一些服务器将运行新的服务。 pipe理员将与现有站点的员工相同,这是远程数据中心站点,而不是有人值守的站点。 从各种devise的最佳实践中,我看到,坚持单一领域看起来是最好的方式,因为它是相同的工作人员和运行相同/类似的服务。 我已经使用单个域控制器设置了第二个站点,并在AD站点和服务中创build了2个单独的站点,并为这两个站点分配了正确的pipe理和客户端子网。 有一个永久站点到站点VPN,防火墙规则允许域控制器相互交谈,并且所有3个域控制器上的dcdiag报告都很好。 所有3个域控制器也运行AD集成DNS服务器。 不过,我正在努力在两个站点的客户端服务器连接。 在查找“int.company.com”时,它会返回所有站点上所有域控制器的IP地址,我从“站点和服务”文档中了解到客户端服务器总是会以任何方式查找其本地域控制器,但我们也有各种应用程序和第三方服务使用ldap针对“int.company.com”这是不是网站的意识。 当前的站点到站点VPN不为客户端服务器路由stream量,而仅为域控制器pipe理networking。 理想情况下,我们设想这样做的方式是,站点A的客户端服务器只与站点A的域控制器交谈,而站点B的客户端服务器只与站点B的域控制器交谈。 所以回到这个问题,所有的客户端都需要能够与所有的域控制器交谈? 或者这意味着我们最好创build一个具有信任关系的独立域,以提供更多的stream量隔离? 提前致谢!
我们有一个暂时的情况,在美国有一个远程办公室,通过一个vpn连接到英国的服务器(域控制器,文件服务器等) 为了改善远程办公室的工作,我最近将其中一台电脑设置为本地文件服务器。 为了使它看起来更合适,我给了计算机第二个DNS名称,以便不要通过\\computername名达到它,他们可以通过\\localfileservername达到它(实际的名字为这个SF问题而改变) 这工作很好一段时间。 但现在,当我尝试访问\\localfileservername我得到“目前没有login服务器可用于服务此login请求”,但如果我通过\\computername访问它工作正常。 奇怪的是我也遇到了错误,当我通过\\ipaddress访问它 此外,为了改善这种临时安排,我在远程办公室的机器的主机文件中设置了许多服务器,并且在设置完毕后,我将这个即兴文件服务器的名称添加到主机文件中如在DNS服务器中)。 所以我的问题是,有两个名称为计算机造成这个问题? 有什么我可以做或检查改善这种情况或摆脱这个错误。 顺便说一下,我发现这种错误通常发生在域控制器可达的情况下更频繁地发生。
我有一个拥有大约900个组的用户(其中一些嵌套,所以我怀疑有大约1000个组),他不能login返回的错误,说明有太多的ID。 我已经运行一个脚本来计算他的令牌大小,结果是约24K。 我们已经设置了64K的限制。 用户在SID历史中没有任何东西,因为他从未迁移过。 脚本: https : //gallery.technet.microsoft.com/scriptcenter/Check-for-MaxTokenSize-520e51e5 我也读过这个演习: https : //support.microsoft.com/en-us/help/327825/problems-with-kerberos–authentication-when-a-user-belongs-to-many-grou 但首先它说每个用户有固定数量的组,但是它说,如果我们将MaxTokenSize设置为64K,则每个用户可以拥有1600个域本地组。 我只是想知道在允许用户使用的AD组的最大数量时,设置MaxTokenSize的意义是什么? 我想我在这里错过了一些东西
这是关于Windows 2008 R2域的。 Documents,Desktop,Application Data文件夹全部redirect到用户的主目录(映射为Z :)。 用户主目录被configuration为移动用户离线。 用户configuration文件被configuration为漫游,并位于一个单独的共享(未映射为networking驱动器),只是通过一个UNCpath访问。 使用caching选项“用户从共享中打开的所有文件和程序都可以自动脱机使用”,使移动用户可以使漫游configuration文件共享可供离线使用是否合适?
关于Microsoft Active Directory域:具有包含两个(或多个)点的名称的域是合法的吗? 即,是“foo.bar.baz”合法的AD域名? “dmz.foo.bar.baz”是合法的AD域名吗? 如果具有多个点的AD域名是合法的:对于名称多于一个点的广告,是否存在任何问题? 也就是说,是否存在与“example.com”和“dmz.example.com”域(两者完全分离,信任方面)相关的潜在问题。 澄清:这两个域之间没有域间关系(防火墙将它们完全分开); 每个域都有它自己的一组DC。
我想为办公室中的所有工作站设置文件夹redirect,几个笔记本电脑用户除外。 有没有办法创build一个只适用于某一组计算机的组策略? 请注意,这是计算机特定的 ,而不是用户特定的 。 几个用户在笔记本电脑和工作站上工作。