Articles of 活动目录

我如何使用PowerShell [adsisearcher]查询我不属于的成员？ 通常我会做这样的事情： $myAdsi = [adsisearcher]"" $myAdsi.SearchRoot = [adsi]"LDAP://dc=corp,dc=mycompany,dc=com" $myAdsi.Filter = "objectCategory=computer" $res = $myAdsi.FindAll() 如果我在我的域中的主机上运行此片段，我会得到预期的结果。 但是，如果我从一台有networking访问权的计算机（通过L2L VPN）运行这个服务，我得到的错误是： Exception calling "FindAll" with "0" argument(s): "The specified domain either does not exist or could not be contacted. " At line:11 char:33 + $adComputers = $searcher.FindAll <<<< () + CategoryInfo : NotSpecified: (:) [], MethodInvocationException + FullyQualifiedErrorId […]

我有一个现有的活动目录，一个Win2K8R2和Win2K3域之间的混合，我想testingnetworking上的Windows Server 2012 Essentialstesting版。 通过安装时，它给了我一个新的域的选项，或从一个现有的域进行迁移。 当点击现有的，它告诉我，我一次只能有一个域上运行一个SBS服务器…所以，我没有任何现有的SBS服务器（都是完整的标准或企业版本），但我打算保持至less有一个额外的服务器运行…那么，我如何获得一个2012年的Essentials服务器join一个域，而不是迁移现有的域？ 或者如果我迁移，我还可以得到一个其他的盒子作为辅助控制器？

我需要禁用域中的Windows机器将文件复制到自己的便携式设备。 我发现了一个设置，告诉registry会告诉计算机'writeprotect'（ StorageDevicePolicies\WriteProtect ）便携式存储设备。 然而，智能手机被认为是将自身呈现为便携式媒体播放器，从而绕开了这一背景。 我该怎么阻止呢？

我们一直在移动数据中心，而且我有很多旧logging不正确，但是在DNS中作为CNAMElogging，但是Alogging具有直接IP（例如192.168.100.n），并且他们全部移动到新的子网（10.19.100.n）。 我只需要编写一个powershell脚本来更改所有这些logging。 我发现这个网站： http://www.indented.co.uk/index.php/2008/12/30/administering-microsoft-dns-in-powershell/ 并从中做出这个简单的脚本： $dnsServer = "meldc2" $scope = New-Object Management.ManagementScope("\\$dnsServer\root\MicrosoftDNS") $path = New-Object Management.ManagementPath("MicrosoftDNS_Zone") $options = New-Object Management.ObjectGetOptions($Null,[System.TimeSpan]::MaxValue, $True) $ZoneClass= New-Object Management.ManagementClass($scope,$path,$options) $Zones = Get-WMIObject -Computer $dnsServer -Namespace "root\MicrosoftDNS" -Class "MicrosoftDNS_Zone" $Zones | Get-Member foreach($Z in $Zones) { $Z | Select-Object Name,DsIntegrated,ZoneType,Reverse,Data } 但是这只能让我得到一个根区列表。 我不明白如何遍历每个区域中的所有条目。 另外，我所看到的所有例子都涉及到添加新的区域，但是在修改现有的Alogging时没有任何例子。

一个好友问我这个问题 – 而且我对老版本的Active Directory还知之甚less，以及如何操作/configurationAD来回答这个问题。 我的好友的一个客户有一个AD域DomainA ，这就是他们现在用来login到Active Directory的东西 – 用户使用他们的用户名以DomainA\John Doe的formsDomainA\John Doe 。 无论出于何种原因（不要问我这些原因！），他们知道用不同的域名（ 不是第一个域的子域）login – 让我们说OtherDomain 。 所以这个想法是：Active Directory仍然在DomainA运行，但用户使用OtherDomain\John Doelogin。 这甚至有可能吗？ 如果是的话：你如何设置/configuration这样的情况？ 感谢任何提示！

我有一个运行在Windows 2003，2000模式下的域。 我正在尝试创build一个AD组来为用户授予临时域pipe理员权限，以节省必须给他们永久的DA。 我已经在OU中创build了一个AD组：g.Temp_DomainAdmin：Groups / Admin / Delegated Permissions。 我有一个计划的任务运行一个VBScript从这个组中删除所有用户。 该任务作为服务帐户运行，权限有限：s.purge_temp_da 我已经将OU的权限委派给服务帐户，以允许完全控制它下面的组。 手动运行任务完美地工作。 但是，无论什么时候在午夜运行，都会以“-2147024891 – 一般访问被拒绝错误”失败。 查看g.Temp_DomainAdmin组显示委派的权限已经消失。 有任何想法吗？ 这是VBScript： Option Explicit Dim objRootDSE, strDomain, objGroup, objUser, strdistinguishedName, arrDnComponents Const ADS_PROPERTY_DELETE = 4 ' Retrieve domain information Set objRootDSE = GetObject("LDAP://RootDSE") strDomain = objRootDSE.Get("DefaultNamingContext") ' Bind to the group Set objGroup = GetObject("LDAP://CN=G.ADM.Temp_DomainAdmin,OU=Delegated Permissions,OU=Admin,OU=Resource Access,OU=groups," & […]

在尝试自动化一些事情时，我碰到了一个AD的导入脚本的绊脚石。 脚本的一部分包含： New-ADUser -Name $Name –GivenName $Person.givenName –Surname $Person.sn –DisplayName $Name –SamAccountName $Username -HomeDrive "H:" -HomeDirectory $HDrive 这里的问题是-HomeDirectory $ HDrive 。 variables$ HDrive =“\ data \ Staff Homedrives \” 我怎样才能将％username％添加到HomeDirectorypath的末尾？

几个小时前，我们的一些成员服务器变得无法对他们应该使用的两个域控制器进行身份validation。 成员服务器和DC位于同一个数据中心，位于AD的单独“站点”。 运行DCDiag显示没有问题，我们已经确认服务器和数据中心之间具有networking连接。 在成员服务器上运行nslookup会在每种情况下显示列出的名称服务器。 LDAP身份validation似乎正在工作，但Kerberos身份validation已停止工作。 基本上，所有关键的内部服务已经停止。 以下是关于成员服务器所遇到的一些问题的具体情况： Exchange – 拓扑服务找不到任何域控制器。 因此，Exchange信息存储无法启动。 SharePoint – 身份validation在IIS级别和IIS与SQL之间失败（此服务器场已连续多年）。 其他疑难解答 NLTEST / DCLIST：域名 – 没有DC可以findDC列表 NLTEST /服务器：Servername – 两个DC完成成功。 NLTEST / DSGetDC：域 – 命令成功完成。 NLTEST / dsgetsite – 成功完成。 GPUpdate – 用户无法find。 没有域名存在 交换服务器上的nslookup -type=SRV _kerberos._tcp.dc._msdcs.subdomain.mydomain.com输出： Server: colo-dc-001.subdomain.mydomain.com Address: 10.11.2.20 _kerberos._tcp.dc._msdcs.subdomain.mydomain.com SRV service location: priority = 0 weight = 100 […]

我有两台Linux服务器连接到使用Samba / Winbind的Active Directory Windows 2008服务器，这里是我的sambaconfiguration workgroup = COMPANY realm = COMPANY.COM server string = SAMBA-AD Server security = ADS password server = 10.1.xx log level = 2 log file = /var/log/samba/log.%m max log size = 50 unix extensions = No idmap uid = 10000-20000 idmap gid = 10000-20000 template homedir = /home/%u template shell […]

使用openldap，现在开始了解MS活动目录（AD），我发现在AD中有一个名为“systemPossSuperiors”的属性，它定义允许哪些对象作为父对象。 Afaik在openldap中不存在。 （如何决定openldap允许哪些对象作为父母？） 任何人都可以在这个devise决策上点亮一些东西 systemPossSuperiors是否使AD更健壮？ 还是更灵活？ 我只是好奇为什么会select这样做或其他方式。