我创build了一个有2个虚拟机的testing域来尝试使用Server 2008获得一些知识(+ GPO,OU,ADUC等),但是我已经变得有点卡住了。 我创build了一个名为“ User Policies的OU,并将该OU中的一个名为Menu Lock Down的GPO链接起来。 这个想法是简单地创build一个“testing”OU,locking开始菜单,使该OU中的用户不能使用各种选项,如运行和networking设置。 这是我陷入困境的地方。 我在User Policies (通过ADUC)中创build了一个安全组,并向该组(访客)添加了一些用户,但由于某种原因,该组的策略不适用于相关用户。 他们只适用于当用户通过ADUC在OU中时的用户。 我的问题是,有没有办法将一个安全组链接到一个OU,所以如果我想要一个新的用户有相同的限制访问开始菜单,我只需要将该用户添加到安全组?
尝试将辅助服务器升级到现有的活动目录林时,我收到以下错误消息,无法继续。 无法检查活动目录林。 找不到ridMasterDSA.partentDN的值 什么可以导致这个问题,可以做些什么来解决这个问题? 两台服务器都是2008年在x64上运行,并可以通过他们的名字在networking上互相看到。 仅供参考:两台机器上的防火墙都closures,所以应该没有问题。 另外,我添加的服务器已经是域的一部分。 一台服务器已经是一个域控制器,但我想添加一个。
我目前正在研究在Active Directory中使用自定义字段来存储每个用户在我们的域networking中的信息的可能性/可行性,但是对于自定义字段本身有几个问题,即: 这些领域有什么限制,如果有的话? 有最大的字段长度吗? 每个用户是否有最大数量的自定义字段? 是否有任何已知的读/写性能问题(从C#)用于此目的?
我正在尝试为用户设置打印机,并且打印服务器位于具有信任关系的林中。 用户全部在Windows 7上,而打印服务器是Server 2008 R2 Standard。 DomainA包含打印服务器DomainB包含用户 当DomainB中的用户或pipe理员尝试从DomainA打印服务器添加打印机时,他们会得到一个通用错误,指出“Windows无法连接到打印机,访问被拒绝” 我已经将DomainB用户添加到DomainA打印机安全瓦特/打印权限,仍然得到相同的错误。 我甚至尝试在DomainA中创build一个Domain Local组,并从DomainB添加用户,并且无论我在DomainB中使用标准用户还是域pipe理员,都仍然失败。 当通过IP添加打印机时,它可以正常工作,但这不是通过打印服务器运行的,在我们的环境中不是可接受的解决scheme。 我需要做些什么才能使这个跨森林打印工作? 来自testing的附加信息:DomainB用户能够浏览DomainA打印服务器上的文件共享,但添加打印机会标记错误。 DomainB用户能够添加某些HP / Brother打印机,但理光和佳能打印机出现故障。 所有他们能够添加的打印机是打印机的驱动程序默认包含在Win7中。 这似乎只发生在需要从打印服务器下载打印驱动程序时。 可能的共享失踪或权限错误?
我正在为我的testing域中的用户编写自助服务密码重置工具。 我希望他们能够更改密码,不生成随机密码。 我正在使用dsmod与服务帐户来更改用户密码,它工作正常(即将用户的密码设置为上一个或如果密码不够复杂时抛出一个错误)。 dsquery user -samid someuser | dsmod user -pwd somepassword -mustchpwd no 由于某种原因今天它会采取任何密码,并改变它。 通过GUI进行更改是强制执行策略。 有谁知道发生了什么事或如何用另一种工具来执行此操作?
我有一个独特的问题。 我们inheritance了一个没有顶级域名的域名。 域名是renob。 我试图在我们的生产域(jimbo.local)和这个inheritance域(renob)之间创build一个森林级信任,但是信任向导不喜欢没有TLD的域。 build议?
我inheritance了一个包含数百个长期计算机帐户的AD环境。 我想开始清除它们。 如果我使用dsquery computer -inactive命令,它似乎忽略这些计算机,并且只返回在最近几个月/周内一直处于活动状态但在给定时间段内未激活的计算机。 例如,如果我运行dsquery computer -inactive 4我得到一台计算机。 如果我运行dsquery computer -inactive 3我得到大约五个。 如果我运行dsquery computer -inactive 1我会得到一个大的列表。 这些清单都没有显示非常旧的电脑帐户。 我误解了这个命令应该做什么?
我们最近遇到了一个问题,那就是用户从家里带来笔记本电脑,并将其插入networking,试图访问互联网。 我知道在一个端口级别,我可以设置MAC限制,但是我想知道是否有办法阻止一个不兼容的机器在将来访问我们的networking? 我们目前运行所有的Windows 7客户端机器,我只想告诉它“如果不是Windows 7,不能访问”,但不知道如何去做。 我们正在运行一个AD环境,2008年和Windows服务器之上。 我想也许NAP会工作,它似乎有一个WinXP的设置(一个用于Win7的),但它允许我不允许或允许访问,如果它是最新的,如果病毒保护打开等,而不是如果它是Windows XP本身。 有没有办法,我可以禁用任何东西,但我指定从这样的访问networking? 在此先感谢您的帮助!
我似乎有与我们的域控制器之间的复制问题,设置如下; 一个域两个域控制器(2008)一个是虚拟的,一个是域控制器之间的物理同一站点的ping是好的。 好的,所以基本上我必须做一个bios升级到托pipe虚拟机的服务器(域控制器是虚拟机之一)。 更新之后,我们发现cisco交换机出现问题,因为已启用智能端口,并停止所有虚拟机与包含所有其他物理机的物理networking之间的通信。 现在我们通过禁用2960上的智能端口来解决这个问题,所有虚拟机都可以和物理机器成功通信,一切正常。 然而; 当我们启动域控制器的虚拟机时,花了很长的时间来启动(我知道AD / DNS常见问题)。 当它终于启动我login,并立即尝试ping第二个DC。 平反应良好,一切都好networking明智。 但突然之间,域控制器不同步。 我试过repadmin / syncall和错误来了,我试了dcdiag / q,我也得到错误。 RPC服务无法与FSMO持有者进行通信(简而言之)。 我检查和dfsr服务运行良好。 我切换任何防火墙和防病毒,但仍然不能沟通,除了与平。 什么都没有改变? 有人能指出我从哪里开始的正确方向吗? 出于testing的目的,我在第二个DC上创build了一个对象,并没有复制到第一个DC(FSMO支架)上。 C:\Users\Administrator>dcdiag /q There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems. ……………………. IME-DC1 failed test […]
我必须委托AD serwers的域名。 比方说example.com,我在CentOS上使用绑定(dns.bind.com)。 我将proprerconfiguration添加到named.conf,并使用A,NS使用DNS服务将代理域logging到AD服务器。 之后,所有问题都应该被转移到那些AD(让我们称之为dc1.example.com和dc2.example.com)服务器,即使我问我的DNS BIND(或者我错了吗?) 现在,当我执行: dig @dns.bind.com example.com A我什么也得不到,但是当执行dig @dns.bind.com example.com A我得到很好的answare指向dc1.example.com的IP(那是正确)。 现在我不是ADpipe理员,我甚至没有访问该AD服务器。 我是dns.bind.com的pipe理员,所以也许我不知道… 在dns.bind.com我做了这样的事情委派example.com AD服务器: named.conf中: 区域“example.com”{ 型主人; 文件“example.com.hosts”; allow-update {none; }; allow-transfer {aclgroup1; }; allow-query {any; }; also-notify {192.168.1.105; 192.168.1.106; 192.168.2.10; 192.168.2.11; 192.168.3.23; }; }; example.com.hosts: $ TTL 1H @ SOA @ root( 2013120401; 序列号 10M; 刷新 30M; 重试 10D; 到期 […]