我注意到,复制Active Directory用户帐户时,复制了除街道地址外的所有地址。 有没有办法改变这个? 我们目前正在2008年的DC上运行一个2003 AD,当我们激活我们的新交换服务器时,最终将升级域名级别。
我们目前有几乎事实上的标准,要求在我们的Windows AD域上使用复杂的密码。 但是这个XKCD卡通片在几个月前引起了我的注意,当时我想Coding Horror: http://xkcd.com/936/ 有没有人更改过他们的密码政策,即需要一个长的短语,而不是一个非字母字符较短的一个? 如果是这样,你有没有第三方审计的问题? 我们经常接受我们的制药客户的审计,我不确定他们会买这个。 这对我来说很有意义 – 特别是当发现密码被写下来,因为它们不能被记住。
我需要通过LDAP更改Active Directory中的logonHours属性,例如。 使用ldapmodify。 该属性是字节stringtypes。 这可能吗?
我们有一个Active Directorynetworking,包括一些Mac和PC的混合环境,包括一些通过VPN连接的远程用户。 我们正在尝试实施密码过期策略,但是我们遇到了这样的问题:当AD的密码过期时,无法连接期限 – 没有任何提示或机会更改密码,什么都没有。 对于使用域密码同步的VPN客户端来说,这是双倍的。 当然,有一件中间件或者某种东西可以弥补这个缺陷。 有什么想法吗?
是否可以在通过中等带宽DSL(2-10 Mbit)WAN连接为单个域(intranet.example.com)连接的远程位置设置多个附加域控制器(ADC)? 这是一个好主意吗? 我们有五个站点,并希望有非常高的可用性,如果任何网站都失去了互联网连接。 然而,每个站点都非常小,并且都位于相同区域内相当小的地理区域内,因此每个站点都有一个PDC似乎很奇怪。 如果每个站点都可能有一个ADC,那么客户是否可以使用ADC,或者只要使用PDC就可以使用PDC?
在Windows 2003 Server上使用Exchange 2007,我们如何查看深度嵌套多层次的嵌套子组的父级? 例如,我创build了一个名为“棒球”的组。 然后,我创build了另一个名为“团队”的小组。 我通过select“成员” – >“添加”(在“棒球”组下),使“团队”成为“棒球”的成员。 然后,我又创build了一个名为“印第安人”的小组,并成为“团队”的成员。 最后,我做了第四个名为“玩家”的小组,并成为“印第安人”的成员。 当我看“球员”的“成员”时,我只看到我是“印度人”组的成员。 有什么地方可以看到“玩家”的最高水平父母是“棒球”? 我想我应该能看到这样的事情: 棒球 – >队 – >印度人 – >球员 我们正试图通过将组放入组中来设置Active Directory中的组织。 也许我甚至做错了这个方法。 但是,当我有一个小组突出显示,我没有看到创build一个小组的选项。 当我突出显示“用户”文件夹时,我只能创build一个组。 “用户”文件夹是Active Directory和用户左侧树中在我们的域下find的约10个文件夹之一。 这工作。 在命令提示符下,我input: dsquery * -filter "(member:1.2.840.113556.1.4.1941:=CN=Players,CN=Users,DC=xxx,DC=yyy,DC=zzz)" xxx,yyy,zzz是我的实际域名的信件,我不是在这里发帖的安全。 无论如何,在运行上面列出的dsquery命令之后,我看到列出的“玩家”的父母(“印度人”),祖父母(“团队”)和曾祖父母(“棒球”)。 我必须承认,LDAP背后有一个很大的学习曲线。 我试过的其他东西没有帮助: Softerra LDAP浏览器工具很好用来返回用户。 但是,我还是看不到这个最低级别的父母,祖父母等等。 我也在命令行尝试了ldifde: ldifde -f exportuser.ldf 在结果被放入的exportuser.ldf文件中,我可以看到“Players”组。 但是,只有“印度人”再次被列为“会员:”。 我也尝试过ldp.exe,但是这也没什么帮助。 所以,这是一个很好的回应,帮助我。 谢谢!
我试图通过Active Directory将WiFi设置推送到客户端计算机,这将添加一个默认SSID连接到一个WPA密码。 我听说的唯一的事情是Aruba实验室在几个论坛上( 这里和这里 )称为wificfg_xp.exe的脚本,但是下载页面的链接总是被打破。 是否有人知道另一种方式来下载这个文件,或另一种方式来推动这些设置与AD?
我的问题是,我有一些networkingpipe理应用程序,如不支持来自Active Directory域服务(AD DS)的嵌套组的SAN交换机。 这些传统pipe理应用程序使用LDAP或LDAPS。 我确信我可以使用Active Directory轻型目录服务(AD LDS),也可以使用Windows授权pipe理器来解决此问题; 但是我不确定从哪里开始。 我想最终: 可以通过LDAP / LDAPS查询所有直接成员的单个组 用于AD DS的用户名和密码凭证的LDAP代理 简单的方法来pipe理组,理想情况下,该组将在AD DS中聚合嵌套的成员资格。 本地解决scheme使用Windows堆栈中免费提供的组件。 如果您有任何build议或解决scheme,您以前用来解决这个问题,请让我知道。
好吧,这可能是一个简单的方法,但是我可以发誓我已经在Active Directory相关书中看到了,现在我还是不能把它从我脑海中抹去,即使没有其他的消息来源证实它,这听起来没有必要和错误。 据我所知,可以很容易地从一些可以追溯到AD早期贝塔的文献中find。 声明是,当你创build一个域(比如说“france.company.lcl”)的子域(比如说“accounting.france.company.lcl”),它本身已经是树根域的子域(比如说“company.lcl”),Active Directory不仅会在这两个父域和子域之间创build一个双向传递信任,而且还会在下层子节点之间直接创build一个自动的双向传递信任关系,并且树根2将升级。 所以下层子域和树根域之间的信任不仅是通过中间直接父域传递的,而且更像是一个快捷信任。 如果有人能用一个强有力的声明把我们的脑子抹去,那就太好了。 🙂
由于服务台工作人员的错误,我发现我公司AD中的100多个用户帐户已经被设置,以便他们的密码永不过期。 为了避免所有这些用户突然发现自己无法login的情况,我想运行一个脚本来设置密码到期到指定的date。 我正在使用Quest AD cmdlet,但是我只使用powershell来获得简单的脚本来获取用户列表。 我试图修改的属性是'PasswordStatus',我想将这个属性设置为“密码永不过期”,以便在特定的date。不是一个脚本的人,所以在这方面的任何帮助将是最受欢迎的。