在我的Surface Pro 4上,我错过了RSAT的一些function。 这是我所看到的: ADUC 从属性窗口中缺less的各种选项卡。 我打开了“高级function”: 但是,当我打开一个OU的属性时,我看到的只是安全性,COM +和属性编辑器: 当我打开用户的属性,我也缺less一些非常重要的标签: 另一个有趣的地方是右键单击并添加一个新的用户/ OU / etc根本就没有做任何事情。 随机的Properties选项不会做任何事情,你必须closuresADUC并重新打开它才能进入属性。 ADAC 如果我向下滚动到用户的底部,则来自扩展的各个选项卡都将丢失。 例如,没有属性编辑器: 其他时候,打开一个随机的用户/ OU /等导致“Active Directorypipe理中心必须closures由于未知的错误”消息。 我已经尝试删除RSAT并重新安装它。 我已经确定所有的RSAT已经安装。 我也将tsuserex.dll和tsuserex.dll.mui从工作的2012机器复制到system32和system32 / en-us并注册DLL。 这一切都没有解决这个问题。 还validation了en-US是唯一安装的语言。 任何其他的想法?
我公司目前正在进行networking必要authentication,所以我们需要增加pipe理帐户的安全性。 我的问题是:如何设置无法login到Windows会话的pipe理员帐户,但可以授予运行服务的权限。 例如使用“以pipe理员身份运行”function来打开需要pipe理员权限的应用程序。 这将阻止pipe理员直接访问互联网,并以双因素身份validation的forms工作,因为pipe理员需要他们的标准用户帐户以及pipe理员帐户。 我曾尝试使用GPO设置,但找不到任何有用的东西,请帮忙! 谢谢。
我“inheritance了”我有以下情况的域名: A – 当前正在使用的域(Server 2003/2000) B – 一个较早的兄弟域,不再使用,前一段时间服务器被拆除而不删除域 我需要添加一个新的服务器到“A”域,但该过程失败,因为服务器试图连接到“B”,无法find它。 事实是,似乎我无法做任何事情来纠正这种情况,因为之前的pipe理员搞砸了权限,授予完全控制权的“pipe理员”(称为“C”)的企业pipe理员,这已经不存在了(至于“ B“,服务器已经没有了,但没有人想过删除域),并删除了其他域pipe理员的权限。 任何人都不知道密码(“A”除外)。 没有一个旧的服务器还在附近。 我已经试图控制我的域名,并进行元数据清理,但没有成功。 我能做些什么来恢复现有的域名,还是将所有内容迁移到一个全新的域名? 非常感谢!
看来我们的域的默认域策略已损坏。 GPT.ini文件已损坏。 当我打开它,我得到一个访问被拒绝的错误。 我试图通过探险家,takeown,和CACLS没有运气的所有权。 我也尝试DCGPOFIX /目标:当进程开始冻结的域。 任何想法将不胜感激。 我有一个GPO的备份,但当然,当我尝试恢复它locking了GPMC。
使用我的两个域控制器轻度testing故障切换过程。 我有两个域控制器,DC1和DC2。 DC1具有所有FSMOangular色,是Active Directory集成的DNS DC2是Active Directory集成DNS,并且是DHCP服务器。 DHCP作用域为客户端分配DNS1到dc1和DNS2到DC2。 DC1和DC2都是全局编录(GC) 当我closuresdc1来模拟PDC FSMOangular色不可用时,会发生问题。 当我用工作站login时,在应用计算机设置屏幕上需要很长的时间。 它最终会以约3分钟或更less的时间login。 这是一个共同的时间框架? 这是预期的行为? 我从来没有遇到过这样的问题,但是我正在做这个练习来testing我们networking的可靠性,以防dc1停机几个小时。 我的理解一直是,如果您的DHCP作用域中有正确的DNS条目,工作站将会在第一个DNS条目失败时转到第二个DNS条目。 我也尝试设置工作站DNS有DC1的DNS1条目(它仍然打开并运行,DNS2是DC1,我closures模拟失败),我仍然得到相同的结果,缓慢应用计算机设置。 我重新打开了dc1,并将DNS设置改回原来的样子,并且XP客户端恢复正常。 因此,当我closures拥有FSMOangular色的第一个域控制器DC1时会造成一些断开连接,导致此login问题缓慢。
我有一个没有实体办公室的客户,大部分的用户在租用的办公室(按小时)工作,在自己的家中或在笔记本电脑上工作。 用户(约20人)在欧洲,北美,东亚和澳大利亚之间大致均匀分布。 客户端需要最初部署Active Directory以支持SharePoint和Team Foundation Server,并且需要安全且高度可用。 我考虑过的一个解决scheme是在VPC专用子网上使用Amazon EC2,并让用户通过VPN或Rackspace上的类似解决schemejoin域,但添加了足够的防火墙或VPN。 有没有其他的解决scheme我应该考虑,可能不是基于云?
我家里有一个小型networking,包括运行Win 2008 R2的主域控制器,运行Win 7(x64)的桌面以及运行Win 7(32位)的笔记本电脑。 我不确定这是什么时候开始的或是什么改变,但是从笔记本电脑我不能再访问在桌面上运行的共享,无论是在浏览器中导航还是使用“NET USE”命令。 从浏览器导航时,它会看到所有三台机器,但是当我双击桌面展开它时,它会显示“DWH-X64不可访问,您可能没有权限…login失败:目标帐户名称为不正确“。 同样,如果我尝试运行一个NET USE命令,它会返回“系统错误1396发生login失败:目标帐户名称不正确。 如果我尝试使用这些引用域控制器而不是桌面的过程,则会成功完成。 我也可以从桌面访问笔记本电脑共享。 我已经Bing了这个错误,并尝试(反复)从域中删除笔记本电脑,并重新添加它(包括去ActiveDirectory和删除机器帐户),仍然得到相同的结果。 我在Bing上find的其他解决scheme似乎不适用,因为他们正在讨论多个域控制器和复制。 还要注意,我可以login使用这(所谓不正确的)帐户名称在所有三台机器上。 我不知道还有什么要尝试的。 有什么build议么? 提前致谢
问题:创build和维护数百个学生帐户 我所在的学校在Server 2008上运行Active Directory。每年,我们的学生都必须使用第三方SaaS学校pipe理系统注册帐户。 这在过去创造了很多工作,因为要为学生编写代码,学生经常丢失代码或不知道如何input代码。 之后,设法注册的学生可能会忘记他们的用户名或密码,然后到我(单机系统pipe理员)进行密码重置等操作。 解决scheme1:询问用户密码 今年秋天,我们搬到了一个新的短信,显然不支持任何forms的批量学生注册。 政府计划与每个学生见面,要求他或她input用户名和密码,并手动为他/她创build一个帐户。 我想,如果我们能够整合这两个系统并避免这个问题,那不是很好吗? 当我联系第三方公司时,他们说他们没有集成Active Directory。 我决定创build自己的系统:一个数据库与一个作为学生帐户login脚本运行的程序结合在一起。 它是这样工作的: 当学生第一次login到Windows时,他们被要求input密码 密码将根据存储在Active Directory中的密码进行检查 如果它们匹配,密码将存储在数据库中(密码不能简单地从Active Directory转储到数据库中,因为Active Directory密码是只写的) 程序的服务器端组件使用存储在程序数据库中的Active Directory密码为第三方公司的学生创build帐户 新问题 现在,问题是,如果用户的密码在Active Directory中重置,它们不会在数据库中更新。 如果用户从工作站更改密码,则密码不会在数据库中更新。 还有数据库本身的安全问题。 解决scheme2:可逆encryption 我注意到活动目录可以用可逆encryption存储密码。 我知道这是没有正式logging的,而且很清楚,即使是写“密码检索”这个短语也带来了“世界末日”的可能性。 但是考虑到这个风险,我不认为我们的服务器有很大的危险性,即使是这样,攻击者也不会对学生的帐户做任何事情。 build议吗? 你会如何推荐我解决这个问题? 有没有一种方法可以放弃我的中间人数据库,并直接使用Active Directory中的信息? 我应该放弃尝试整合系统吗? 任何想法都是值得欢迎的,其中包括关于单点login的想法如何被置于首位的评论。
DFSR复制似乎在我的域中被破坏了,在开始修复之前,我想对当前的组策略对象进行备份。 但是,我无法备份默认域策略,因为组策略pipe理 – >默认域策略 – >备份GPO只是失败,出现错误“ An invalid directory pathname was passed ”,PowerShell Backup-GPO失败,出现“ Exception from HRESULT: 0x80005000 “。 我确实发现了前面的问题“ 诊断为什么组策略对象不可访问 ”,这似乎非常相似(尽pipe可以通过组策略pipe理访问GPO,只要能够对其进行修改)。 但是,如使用ADSI Edit所示,将默认权限还原到GPO并没有帮助。 它也没有失败; 但是,切换回组策略pipe理并重新select默认域策略确实注意到,文件系统权限与Active Directory不同步,并提供了修复它们,我允许。 即使在这之后,如上所述备份GPO也失败了。 (我随后浏览了GPO的CN下的所有子文件夹,并将它们重置为默认权限,尽pipe我没有注意到它们中的任何一个都不在那里。) dsacls "CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=my,DC=domain"没有(也没有)列出任何拒绝规则( 确切的输出 ),所以我茫然 – 可能会导致访问问题? 更新2013-08-27: 正如Douda所build议的那样,我看着ProcMon试图在默认域策略上运行Backup-GPO的powershell.exe转储,并注意到与Douda慷慨提供的转储相比有一些显着差异: 一开始,我在GPO目录\\servername\sysvol\domainname\Policies\{31b2f340-016d-11d2-945f-00c04fb984f9}下面的四个目录中从CreateFile操作获取NAME NOT FOUND结果:UserStaging,MachineStaging,UserOld,和MachineOld。 在Backup-GPO读取MACHINE和USER下的Registry.pol之后,我从… \Adm上的CreateFile操作中得到NAME NOT FOUND结果 最后,我还在QuerySecurityFile操作中从… \MACHINE\microsoft\windows nt\SecEdit获得ACCESS DENIED结果。 有一个hex值0x20作为详细信息,但我不知道这个意义。 我检查了上面提到的SecEdit文件夹的权限(以及CN = System / CN = […]
考虑到networking细分问题,如何定义在违规情况下重置密码的范围? 更改与受损系统位于同一networking上的所有计算机上的所有帐户的所有密码。 不完全是。 所有帐户。 所有的电脑。 是的,你是对的,这可能是矫枉过正的; 另一方面,它可能不是。 背景: 在为我的日常工作编写事件响应计划时,我提到如何处理受损服务器? 对于什么时候应该发生的一些想法。 我正在使用PCI DSS范围工具包定义的分段networking。 我的设置涉及非域和应用了内部分段的域。