“组策略创build者所有者”组的唯一原因是为了向其他用户授予在域中创build(然后仅修改其自己的)GPO的权限? 是否有另一种方式通过Powershell来做到这一点,或者这个组是唯一的方法吗? 即只是在没有成为该组的成员的情况下取消权限。 有一个PS cmdlet,例如: Set-GPPermission等等。虽然根据他们的technet文章它并不真正适用。
这个命令: dsadd user "cn=testing dummy2,cn=Users,dc=domain,dc=local" -display "testing dummy2" -samid [email protected] -pwd password76 -fn testing -ln dummy2 -disabled no -upn [email protected] -desc testing -acctexpires 61 -mustchpwd yes 正在返回这个: The name provided is not a properly formed account name. type dsadd /? for help 有什么我失踪?
我记得早在Windows NT的日子里,您可以创build“空白”的计算机帐户,以便任何人都可以将该名称的计算机join到域中。 我想用Active Directory做同样的事情。 特别: 为会员或RODC创build一个“空白”计算机帐户 无需交互就可将计算机join域 我试图解决的问题是我有1,400 samba4服务器,我需要作为RODCjoin域。 我真的,真的不想input密码1400次。 我希望它是适当的自动化(木偶/厨师/无论)。 也许我可以用kssh和Kerberos票据转发解决这个问题? 打开想法。
在Active Directory域D1上,我创build了特定的组来委派一些任务。 其中一个特定的团体只是“域pipe理员”的成员,给予人们所有的pipe理权力。 ITpipe理员帐户将根据需要成为特定组的成员。 这些人需要pipe理多个广告领域(D2,D3 …),所以我想到了可以在D1,D2,D3 … 除了域pipe理员之外,我为所有代表团做出了这些贡献。 D2或D3中的这个组是一个“全局”组,我不能从另一个域成为通用组。 我知道这取决于Active Directory中组范围的这种想法(请参阅http://technet.microsoft.com/zh-cn/library/cc776499%28v=ws.10%29.aspx ),但是我不知道是否有人发现这个问题的解决方法。 更新所以,这是不可能的,但使用“BUILTIN \ Administrators”和GPO / GPP,我可以给这些帐户“域pipe理员”相同的权力? 或者他们总会有只有域pipe理员才能做的任务?
上下文 我想限制一些AD用户到一个特定的脚本,限制他们可以在这台机器上做什么。 所以,而不是用/bin/bash (比如)连接它们,我想强制它们使用/path/to/my/script 。 这些用户在特定的AD组中。 其他人应该可以使用真正的shell。 经典的方式 如果那些用户在本地用户,我只是改变/etc/passwd的shell字段。 sssd的方式 有没有办法为该组的成员提供不同的shell值? 如果不是,你会怎么做?
我们的组织刚刚部署了Windows 8.1的新计算机。 其中大约50人。 我们已经遇到了新的计算机上的驱动程序与ipv6 /组播喋喋不休的networking遇到问题。 根据这篇文章 ,禁用ipv6不能解决这个问题。 我正在寻找一个脚本或GPO来部署应该解决这个问题的补丁驱动程序。
嘿,这里有这个cmdlet: Get-ADUser -filter {(distinguishedName -notlike "Disabled Users") -and (enabled -eq $false)} -searchBase "ou=FirstOU,dc=domain,dc=com" 我已经构build它来查找不在“禁用用户”OU中的禁用用户。 (OU内的OU) 但由于某种原因,它不仅会返回不在“禁用用户”中的禁用用户,还会返回其中的禁用用户。 为什么不(distinguishedName -notlike "Disabled Users")工作? 为了使我的结构清晰: Forest FirstOU users,groups,etc.. Disabled Users OU . . .
我在博客上发现了几个参考(见下文),说明setspn.exe实用程序应该从域中的客户机或服务器机器运行,而不是从域控制器本身运行。 http://www.petri.co.il/how-to-use-setspn-to-set-active-directory-service-principal-names-2.htm http://blogs.msdn.com/b/russmax /archive/2009/10/20/configuring-kerberos-authentication-in-sharepoint-2010-part-1.aspx 这是什么原因? 如果我在域控制器上运行setspn.exe会怎样? 我问,因为我设置的SPN在一会之后消失。
这是我在这次交换中的第一篇文章(虽然不是我第一次交换),所以请耐心等待。 我是一名三年级的实习生,我一直负责虚拟化我所在公司的服务器系统。 我已经走了很长一段路了,我已经准备好以迁移模式安装VM Server了。 这里是一些信息: 源服务器:Windows Server 2012标准评估 DNS服务器(仅限本地) 高级目录域服务 文件和存储的东西 其他几个服务器angular色 目标服务器:Windows Server 2012 Essentials OEM(Hyper-V客户端) 在临时Hyper-V主机下运行(将原始服务器虚拟为客户端后,将Hyper-V主机迁移回旧计算机)。 现在坐在“select安装模式”屏幕上。 我一直在关注Microsoft技术网的指南,今天我花了大部分时间在源计算机上的最佳实践分析工具中解决问题。 我还剩下3个问题(都是相关的): 错误:DNS:以太网(适配器名称)上的DNS服务器应该包含环回地址,但不能作为第一个条目(flavor文本指示在迁移过程中可能找不到DNS服务器) 警告:所有域应至less有两个域控制器冗余。 警告:DNS:以太网应configuration为使用首选和备用DNS服务器。 所有这些问题都可以通过部署一个辅助域控制器来解决,但是我从来没有这样做过(参见下面的关注点)。 这里我主要关心的是安装在迁移模式下的第一个问题(错误)。 如果我尝试设置新的服务器部署,并且适配器域控制器被列为本地主机,则可能会导致安装失败。 (至less,这是微软文档build议的)。 但我没有另外的IP地址在这里input,因为我没有其他本地域控制器。 所以,我做了第一个显而易见的事情,并尝试使用Google DNS服务器作为替代scheme。 这是行不通的,因为他们无法识别“森林”中的其他电脑。 现在我不是DNS的专家,所以请原谅我的无知。 这个DNS服务器只关心本地networking的活动目录。 如果我继续进行迁移,并且失败,那么我只需要继续并安装一个辅助DNS服务器。 我在这里的问题是,我受限于Windows服务器密钥的数量(我有2); 不过,我确实可以访问一个运行Debian Wheezy的Linux机器,两周前我设置了一个Mantis服务器。 我可以将Windows Server 2012作为辅助DNS(我认为)安装在虚拟机中,然后使用它,但是似乎我将浪费时间,也可能是Windows键,如果还有其他方法可以使用Linux会好很多。 更好的是,我甚至需要一个辅助DNS服务器进行迁移吗? 提示说,在迁移期间,原始机器“可能”不被发现。 感谢您的时间和考虑。
我已经在Google上search,但无法在活动目录设置中find适当的用户名限制。 请帮助我告诉活动目录用户名设置中不允许的特殊字符。 是否允许单引号(')。