我有一个Windows 2008系统,它始终保持:: 1在第一个DNS设置。 我可以在“ipconfig / all”中看到以下内容: DNS Servers . . . . . . . . . . . . : ::1 8.8.8.8 8.8.4.4 并且networking接口设置中的“自动获取dns服务器地址”选项被禁用。 我安装了活动目录一次,现在卸载,我认为这是原因。 但我找不到任何来自谷歌的答案或者如何修复。
在2003域/林function级别在域中推广Windows 2012 R2服务器时遇到特殊问题。 build立了一个新的2012 R2服务器,添加了以下软件(labtech,appassure,eset A / V和Teamviewer)。 它激活,似乎工作正常。 我添加了Active Directory域服务angular色,并完成了configuration(域/林准备和DC推广)。 一切似乎都顺利。 我重新启动了服务器,这就是奇怪的东西开始的地方。 我注意到服务器指出它需要再次激活; 但不会接受的关键。 我证实了关键是好的。 那时候我注意到软件保护服务(以及许多其他核心服务 – 基本过滤引擎,DHCP客户端,防火墙等)不会启动。 所有这些错误消息是“访问被拒绝”。 我打电话给MS,他们想要在服务级别排除故障。 他们的修补程序是使用procmon并确定需要权限的资源(registry项,文件或文件夹),并添加完全控制的“everyone”。 那得到服务开始; 但重新启动后问题重新出现。 考虑到这个问题可能是在升级过程中使用了反病毒软件包,我重新构build了数据中心,并从AD中删除了元数据(因为我无法降级“rpc server unavailble”这个机器)。 我试图再次推广新build的机器。 全新机器的唯一更改是关键更新。 促销似乎再次正常工作; 但在重新启动后(并等待复制发生),类似的问题开始重新出现。 我已经validation模式更新是正确的(模式版本是69 – 对于Windows 2012 R2)。 我没有通过自己的searchfind关于这个问题的很多,所以我想我会张贴这个看看有没有人见过类似的东西…
我在高中时想学习系统pipe理,因此我在实验室中设置了Windows Server 2012 R2域控制器,并创build了域ad.foo.com 。 我拥有foo.com ,域名注册商(Gandi)负责处理DNS并托pipe我的个人网站。 在我的实验中,我已经在域控制器上安装了DNSangular色,但是我不确定该域的正向查找区域应该是什么。 DNS“新build区域”向导说: 区域名称指定该服务器权威性的DNS名称空间部分。 […] 我只想让DNS服务器处理我实验室的ad.foo.com域中的计算机,那么把ad.foo.com放在正确的位置上呢? 我感谢你的投入。
我有一个交换的O365,和一个当地的广告。 我想通过PS脚本来pipe理通讯组和通讯组成员 ,这些脚本 (通过计划任务运行)会查看用户的AD属性(现在不知道哪些属性)。 该脚本将在本地AD中进行托pipe。 所以如果我想pipe理通讯组(DG),我可以使用PS连接到我的O365,然后pipe理DG。 但我不知道如果我能在O365上从PS会话中检查AD用户的属性? 所以我想知道什么是处理这个最好的方法。 我可以在AD上pipe理DG吗?不需要连接到O365 Exchange? 这意味着我创buildAD组,启用邮件,并把我想要的用户,然后,复制将同步AD组与O365(与DirSync,如果我是正确的)。 O365交换视图中的这些组是否会被视为“分发组”? 人们将能够通过电子邮件发送这些DG? 或者我需要在O365交换方面做一些东西? 要清楚,问题是:我可以通过设置邮件地址(以及其他属性,我现在还没有),从PS(创build组)中的本地AD服务器创build一个DG,然后Exchange将它视为一个好的DG,我可以发送电子邮件给它? 随意要求更多的细节,如果需要的话。 希望我很清楚。
我有一个正在运行的服务,使用AD中的服务帐户login用户凭据。 如果我更改了AD用户和组中的服务帐户密码,但没有启动/login服务的详细信息,服务仍然运行? 还是只在服务启动期间检查密码? 或者服务需要每x个小时login到域控制器? 更新 – 我正在使用Windows身份validation通过networking在WCF上运行服务的两台计算机之间进行通信。
我如何确定在我的服务器上打开文件的用户在Windows活动目录环境(XP,7,8客户端和Server 2008,2012)中主动使用他们的工作站之后已经过了多长时间? 在重新启动文件服务器之前,我检查是否有人在服务器上打开了文件,因此我检查了共享文件夹MMC的“ 打开文件”窗格: 由于正在使用redirect文件夹,因此login的用户将拥有打开的文件,即使他们在计算机上已经有一段时间了。 我注意到MMC的会话窗格上的Idle Time列: 据我所知,这是工作站和服务器之间SMB会话的空闲时间。 这是否能够表明用户活跃后已经有多久了? 或者没有用户活动的login工作站将该计数器重置为0:00? 我还研究了通过PSEXEC对用户工作站运行QWINSTA的输出。 这告诉我会话的状态是Active ,但我不知道这是否与“login”或“在过去的X分钟内活动”相同。 那么,有没有一种方法可以确定工作站拥有一个活跃用户的时间? 也许通过这两种方法我试过了吗?
我正在尝试在Debian Wheezy上使用ldap来设置传递代理到Active Directory。 slapd.conf文件如下。 我可以通过使用姓氏绑定find,名字: ldapsearch -x -h localhost -b "OU=Site-Users,DC=mycompany,DC=local" -D "cn=LaCroix\, Jay,OU=My Group,OU=Site-Users,DC=mycompany,DC=local" -W "(sAMAccountName=jlacroix)" cn sAMAccountName 这确实有效: result: 0 Success 但是我们真正想做的是通过用户名(sAMAccountName)进行绑定: ldapsearch -x -h localhost -b "OU=Site-Users,DC=mycompany,DC=local" -D "cn=jlacroix,OU=My Group,OU=Site-Users,DC=mycompany,DC=local" -W "(sAMAccountName=jlacroix)" cn sAMAccountName 这不起作用: ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db1 注意:尽pipe出现这种错误,我的凭据是正确的,正如在第一个例子中看到的那样,绑定通过姓氏,名字来工作。 我已经search了几个星期的例子,无论我尝试什么,我似乎无法绑定到sAMAccountName,只有姓,名。 […]
我想在我现有的环境中部署FreeIPA或Red Hat IdM 目前,我的域名由MS ADpipe理,由独立的组织pipe理。 假设因为政治原因,改变MS AD中的任何内容都是困难的或不可能的。 对于Linux,我最近configuration了系统,使用Enterprise ADS使用SSSD,直接使用由MS AD提供的Kerberos密码validation。 身份信息仍然在本地系统上提供。 我现在最大的困惑是搞清楚如何提出新的域名空间。 我可以使用我们的MS AD域的子域,并将其委托给FreeIPA? 我认为可能希望将Kerberosconfiguration直接指向MS AD,它已经非常灵活,为什么不利用现有的基础架构? 但是这样我会比这更值得吗? 我不确定事情将如何整合。 考虑到这一点: 我们的主机命名标准是这样的“app-id-dev / prd.domain.com”。 所以例如:“server01dev.domain.com” 通过策略,我们不会在dev / prd环境之间重复服务器ID,所以我想使用子域的一个很好的方法是将前面的例子转换为“server01.dev.domain.com”。 这样做的一个很好的特性是,当指定主机的短名称时,如果我们的域search顺序在客户端上正确设置,则不需要指定dev / prd。 感知优势:这将使我成为这些子域的CA. 这应该简化任何相关的证书。 感知的缺点:这对authentication意味着什么? 我仍然希望用户使用原始域中已存在的用户名进行身份validation。 例如:[email protected]不是[email protected] 另一个疑问是,直接使用MS AD Kerberos是否有意义,因为如果FreeIPA LDAP中没有可用的身份信息,它仍然会阻止用户正确login,除非他们在客户端系统上有本地身份。 如果这是一个真正的问题,这让我怀疑是否有可能与AD同步FreeIPA LDAP信息,但是我认为用户将不得不在子域中创build。 或者,我是否应该放弃直接使用MS AD的想法,并接受我需要创build一个弹性的FreeIPA / RH IdM环境?
我需要只允许特定的授权USB存储设备连接到客户机,其他USB存储设备应该被阻止。 如何在Windows Server 2012 Active Directory中为此configuration设置组策略?
我相对比较新的PowerShell,并试图获得与他们各自的成员在域中的所有组的列表。 以下是我现在正在处理的内容: Import-Module ActiveDirectory $OutPutFile = New-Item -type file -force "AllGroups.txt" #Filters for Groups # 2 Global distribution group # 4 Domain local distribution group # 8 Universal distribution group # -2147483646 Global security group # -2147483644 Domain local security group # -2147483640 Universal security group $D = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain() $Domain = [ADSI]"LDAP://$D" $Searcher = New-Object […]