我们已经在我们的域中为服务帐户configuration了AD约束委派,我们已经得到了一切原则上的工作。 但是,为此,我们必须将LDAP委派设置为特定的域控制器。 对于我们来说,这种方法的缺点是,如果我们引入一个新的DC,如果我们没有更新我们的代表团来包括新的DC,那么我们可能会有服务中断。 有没有办法委托给域中的任何/所有数据中心,还是一次只能做一个?
我们想要做什么 我想在我的hyper-v主机(HOST)上build立一个私人的虚拟实验室。 我们目前在我们的电子邮件服务器上运行Exchange Server 2007 SP3,并计划将其升级到Exchange Server 2013.我的团队希望在生产之前testing升级过程。 我们希望在Hyper-V 2012中使用专用交换机(Windows Server 2012服务器仅运行Hyper-Vangular色)在HOST上安装实验室。 在实验室中,我们希望拥有Exchange Server 2007 SP3电子邮件服务器,一个拥有所有FSMOangular色的DC以及一个运行Office的工作站来testing电子邮件function。 我们已经尝试过了 我们用专用开关设置HOST。 使用Veeam BR,我们成功地将我们的邮件服务器和DC复制到了HOST。 两台虚拟机都拥有正确的IPconfiguration,并能够互相ping通。 起初,Exchange甚至工作(工作的意思,在pipe理控制台中的所有邮箱和设置都在那里,正确),SYSVOL共享可search,一切都很好。 那只持续了几分钟。 几分钟后,平是所有的工作。 networking共享无法访问。 交易所找不到DC。 在华盛顿特区,公元并不高兴。 我看到RPC服务器不可用的各种错误,ADWS无法到达,并且无法find主DC。 两个虚拟机重新启动并没有解决任何问题。 把虚拟机烧掉,把虚拟机复制回主机导致同样的事情:事情工作几分钟,然后,我只假设这一点,Active Directory出错。 我假设DNS不是问题,因为从这两个虚拟机我可以ping主机名? 有什么build议么? 谢谢! 更新2015年9月1日电子邮件虚拟机具有DC \ DNS服务器作为其主DNS服务器。 DC \ DNS将自己查找主DNS。 运行Get-ADComputer -identity(电子邮件服务器的名称)将返回以下红色文本 Get-ADComputer: Unable to find a default server with Active Directory Web Services running. […]
在安装了DHCP服务器的企业或中型企业上? 在DHCP服务器方面,正常的做法是什么? 在这里,我的一台核心交换机上安装了DHCP服务器。 我面对的问题是,我的域控制器也是一个DNS服务器,不更新,如果我select安全只dynamic更新。 所以我必须在DNS Windows服务器上同时保留两个不安全和安全的dynamic更新,这是有风险的。 请帮忙
有没有办法,使用PowerShell,将用户名的AD格式更改为Lastname, Firstname ? 我知道如何手动进行,就像这里给出的答案。 我正在尝试看看是否可以将其添加到我放在一起的脚本中。 谢谢! 编辑 在从这篇文章中深入挖掘之后,我能够弄明白这一点。 $domain = $env:USERDOMAIN $uddn = "cn=user-display,cn=409,cn=displayspecifiers,cn=configuration,dc=$domain,dc=com" $ud = [ADSI]"LDAP:// $uddn " $ud.Put("createDialog","%<sn>, %<givenName>") $ud.SetInfo()
我在Amazon Web Services上设置了一个testing环境,包括2个Web服务器,1个数据库服务器和1个域控制器。 所有这些都是Windows Server 2012并join到域中。 偶尔,成员服务器已经随机抛出错误the trust relationship between this workstation and the primary domain failed 。 我能够通过在违规的计算机上执行本地login来解决此问题,然后执行PowerShell命令Reset-ComputerMachinePassword 。 之后没有问题。 但是,我想知道是否问题的根源是因为组策略设置“禁用机器帐户密码更改”当前被禁用,因此迫使我手动重置机器密码。 我是否应该启用这项政策,如果要实施这项政策,会有什么后果呢? “最长机器帐户密码使用期限”设置的值为30天。
首先道歉,如果我的一些术语closures,我很新的Windowsnetworking和Active Directory。 我们正在运行Windows Server 2008R2文件服务器,而且我的任务是重构我们的networking共享中的一个。 默认情况下,所有经过身份validation的用户都可以访问该共享,只有几个文件夹(例如\\share\manager_1 , \\share\manager_2 )仅限于某些人( manager_1和manager_2 )。 我也希望这些文件夹对于没有访问权限的用户不可见 – 基于访问的枚举为此创造了奇迹。 到现在为止还挺好。 现在,当pipe理员希望在自己的文件夹( \\share\manager_1\sub_folder_1 )中创build一个子文件夹并与另一个用户共享此文件夹时,就会出现问题。 我们给了pipe理员在pipe理员自己的文件夹内对文件夹设置自己权限的能力,所以manager_1可以授予user_1对\\share\manager_1\sub_folder_1访问权限,但在这种情况下: user_1无法将共享目录树导航到\\share\manager_1\sub_folder_1因为在\\share\manager_1上不会自动为他们授予“列表文件夹”权限 – 因此Access Based Enumeration将隐藏manager_1文件夹。 即使使用“遍历文件夹”权限,user_1也不能直接进入\\share\manager_1\sub_folder_1 UNCpath,但ABE优先于“遍历文件夹”。 真的, 我想要一种方式来获得ABE的工作,但'反向许可'的'列表文件夹'权限的传播 – 这样在上面的情况下, user_1将能够钻取目录树sub_folder_1但无法看到任何manager_1文件夹的内容(明显是sub_folder_1本身)。 花了好几个小时试图弄清楚如何做到这一点,我的理解是,在Novell的Active Directory中有一个名为“dynamicinheritance”的特性,就是这样做的。 有没有什么办法可以在基于Windows的环境中实现这一点? 任何帮助非常感谢。
我花了很多很多的快乐时光来探索集成RHEL7和Active Directory所需的sssdconfiguration。 其中很大一部分包括浏览SSSD和AD集成的许多post,特别是在AD中进行本地UID查找。 虽然这些启发,似乎没有涵盖我的情况。 我目前的问题是,我可以使用Windows用户(使用Windows用户的密码“DOMAIN1 \ sales1”)通过SSHlogin,SSSD将正确validationWindows用户的状态。 如果Windows用户被禁用,或帐户已过期,则login失败 – 全部都应该如此。 如果我通过使用与windows用户具有相同id的linux用户(使用linux用户密码的“sales1”)通过SSHlogin,SSSD将在AD中查找并匹配windows用户,但不会validationAD帐户。 我已经将linux用户的UID应用到了windows用户的uidNumber属性,以帮助AD-linux用户匹配,但是当我使用linux用户凭证login时,似乎没有任何东西可以影响AD用户状态validation。 sssd.conf [sssd] domains = domain1.local config_file_version = 2 services = nss, pam debug_level = 7 [domain/domain1.local] ad_domain = domain1.local krb5_realm = DOMAIN1.LOCAL realmd_tags = manages-system joined-with-adcli id_provider = ad auth_provider = ad access_provider = ad chpass_provider = ad ## We do NOT want […]
我开始了一个新的Windows 10笔记本电脑的最新补丁(不包括周年纪念版)的新工作。我安装了10个RSAT工具(WindowsTH-RSAT_WS2016-x64.msu)。 我可以打开它,看到我的域名,但是当我双击一个组来查看它的属性崩溃与.NET运行时错误。 Application: dsac.exe Framework Version: v4.0.30319 Description: The process was terminated due to an unhandled exception. Exception Info: System.Reflection.TargetInvocationException Stack: at System.RuntimeMethodHandle.InvokeMethod(System.Object, System.Object[], System.Signature, Boolean) at System.Reflection.RuntimeMethodInfo.UnsafeInvokeInternal(System.Object, System.Object[], System.Object[]) at System.Delegate.DynamicInvokeImpl(System.Object[]) at System.Windows.Threading.ExceptionWrapper.InternalRealCall(System.Delegate, System.Object, Int32) at System.Windows.Threading.ExceptionWrapper.TryCatchWhen(System.Object, System.Delegate, System.Object, Int32, System.Delegate) at System.Windows.Threading.DispatcherOperation.InvokeImpl() at System.Threading.ExecutionContext.RunInternal(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) at System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) […]
我希望能够授予特定安全组的权限,以便能够创build/更改特定邮箱的SMTP地址。 很高兴通过GUI或通过PowerShell完成这个任务。 我可以通过谷歌searchfind这个粒度级别。
我有一个远程访问VPN,它是针对RSA SecurID服务器进行身份validation的,也是针对Active Directory的。 由于复杂的内部政策原因,有人提出要求,我们可以在每个用户login一定次数后暂停访问。 例如,用户john.doe可以login100次,但在此之后,他的帐户将在AD中被禁用,直到手动恢复。 我很难弄清楚如何以及在哪里最好的configuration。 有任何想法吗?