我正在寻找一种从Active Directory组列表中删除所有用户的方法。 例如,我有一个txt文件与一群组的名称,我想通过所有的人,并删除他们的所有用户。 一种不使用文本文件的方法也可以,但是我有大量的组需要完成这些工作,而且将来也可能需要(可能是定期的)。 这就是我现在正在处理的事情: Set objGroup = GetObject("LDAP://CN=Finance Users,OU=Finance,DC=fabrikam,DC=com") For Each strUser in objGroup.Member objGroup.PutEx ADS_PROPERTY_DELETE, "member", Array(strUser) objGroup.SetInfo End 谢谢!
我有一个生产活动目录安装,现在我想在我的电脑中使用ApacheDS作为我的目录安装一个testing环境。 是否有可能/如何将我的活动目录数据复制/迁移/克隆到我的ApacheDS安装? 似乎很难find有关如何做到这一点的任何指示,所以我也打开解决scheme克隆我的生产AD到我的Win7 PC(Windows服务器虚拟机?)的东西。 我的最终目标非常明确:在我的PC上模拟AD的简单解决scheme…
我们运行Windows 2003 Active Directorynetworking。 作为新的IT经理,我从之前的外部承包商那里inheritance了这个基础设施,这些承包商帮助维护了我们的公司networking。 该networking由大约30%的Windows 7域成员,20%的Windows(XP / 7 / Vista)工作组成员和剩余的Mac OS X(未绑定到AD域)组成。 我们将把我们的服务器基础架构升级到Windows Server 2008 R2,因此我正在考虑整合networking基础架构。 我的问题是我应该添加/绑定不在域中的计算机的70%到Active Directory? 如果有这样的混合环境,networking性能会受到什么影响? 考虑到在客户端计算机和中央文件服务器之间进行大量的networking文件共享,我不希望在那里出现过度的authentication唠叨。 我也知道拥有诸如组策略和集中authentication等域名成员是有好处的。 任何帮助或指针非常感谢! 谢谢
我一直在阅读关于AD的build议顶级域名以及其他内容。 我曾经设置域名为company.local ,工作得很好,但是,更多的人想要使用他们的外部域company.com而不是.local后缀。 我有一个快速澄清的问题,如果我们要实际使用我们的注册域名,我该如何build立我的第一个森林? 用company.combuild立一个新的森林是很容易的,但是我不得不把corp.company.com一个子域添加到一个新的DC上吗? 基本上需要两个DC才能build立一个域。 或者我会创build第一个森林作为corp.company.com并完成它? 这似乎更有意义。
在活动目录密码中有一个设置来打开或closures“可逆encryption”。 目前我有这个function打开,我打算closures它。 这对现有账户有什么影响? 他们将不能再login? 他们将被迫在下次login时更改密码? 我应该期待什么?
我很尴尬。 我需要在我的办公室基于子网实现水平方向的DNS。 例如: 10.170.0.0/16中的用户需要将“srv01.extra.company.com”parsing为10.170.0.5 10.25.0.170 10.180.0.0/16中的用户需要将“srv01.extra.company.com”parsing为10.180.0.5 10.25.0.180 10.0.0.0/8中的其他人需要将“srv01.extra.company.com”parsing为10.25.0.5 现在,使用BIND很容易实现。 不幸的是,我的networking是基于Active Directory的; 我不可能改变所有工作站的DNS服务器,只是指向BIND服务器,我可以吗? 他们需要指向域控制器。 我一直在玩使用存根区域或有条件转发器的想法,但基于我的理解,这些方法将使域控制器自己执行DNSparsing,而不是让工作站联系相关的名称服务器。 你可以build议什么来帮助解决这个分裂视界问题? 附加信息: AD FQDN实际上是id.company.com ,而不是company.com。 我在上面的IP地址上犯了一个错误。 固定。
我写了这个cmdlet: Search-ADAccount -filter {(enabled -eq $true)} -Users Only -SearchBase "ou=FirstOU,dc=domain,dc=com" -AccountInactive -TimeSpan 30 但是它输出一个错误: Search-ADAccount : A parameter cannot be found that matches parameter name 'fil ter'. At line:1 char:25 + Search-ADAccount -filter <<<< {(enabled -eq $true)} -UsersOnly -SearchBase " ou=FirstOU,dc=domain,dc=com" -AccountInactive -TimeSpan 30 + CategoryInfo : InvalidArgument: (:) [Search-ADAccount], Paramet erBindingException + FullyQualifiedErrorId : […]
我有一个独立的Windows 2012框,充当我的域中的打印机服务器。 从那以后,我把它移走了,并将打印机托pipe到别处。 但是,当我打开目录(通过“添加networking打印机”),我仍然看到由旧服务器托pipe的打印机。 如果服务器不在附近,我怎样才能删除这些目录条目?
我有100%的时间在这个领域有几个用户。 我想让他们对AD进行身份validation,以便诸如密码更改的策略,甚至是组策略都可以定期应用。 我想确保这些远程,漫游,永远不会办公的访问用户的标准化保护水平。 有什么想法,我可以为这样的情况?
我知道,由于Kerberos和SPN问题,Windows域控制器上的LDAP负载均衡或故障转移通常不是一个好主意。 但是,我有很多使用LDAP进行身份validation和授权的非Windows应用程序。 他们只是指向一个单一的域控制器现在,将是很好的有一个VIP和一个与我所有的DC背后的池。 那么当我看到这个时,这个交易是什么? https://devcentral.f5.com/questions/ad-dcs-behind-f5 F5做一些特别的事情吗? 它是否会回落到NTLM? 或者它只是使用简单的LDAP绑定到AD? (或SLDAP绑定)。 什么是非Windows客户端使用LDAP的最佳方式? 他们是否应该开箱即可使用DNS定位器SRVlogging? AD-LDS应该部署和负载均衡吗? 有什么我失踪?