我使用Add-ADComputerServiceAccount cmdlet创build了一个服务帐户,并使用Install-ADServiceAccount将其绑定到计算机帐户。 当查看创build的服务帐户对象的ACL时,我注意到“Everyone”组具有为该对象分配的“更改密码”权限,而“SELF”神秘地没有: 这看起来像一个安全问题和一个拒绝服务攻击媒介。 这是为什么? 它必须保持这种方式吗?
我在AD里有1275个UPN后缀。 这是Windows Server 2012中允许的最大值。 $domain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain(); $domaindn = ($domain.GetDirectoryEntry()).distinguishedName; $upnDN = "cn=partitions,cn=configuration,$domaindn"; 当我使用ADAC界面创build用户时,我无法selectUPN后缀中未列出UPN后缀的UPN。 但是,我可以使用任何UPN后缀创build使用PowerShell的用户。 $userDN = "cn=Users,$domaindn"; $userLogin = "[email protected]"; New-ADUser -AccountPassword (Read-Host -AsSecureString "Insert $userLogin Account Password") -DisplayName "" -EmailAddress $userLogin -Enabled $true -Name $userLogin -Path $userDN -PasswordNeverExpires $true -SAMAccountName $userLogin -UserPrincipalName $userLogin 这不会将AD添加为可信的UPN后缀。 据我testing,用户工作正常。 UPN后缀未在AD可信UPN后缀列表中列出的用户使用UPN创build用户可能会产生哪些不良后果?
我公司有一个acme.com域名的网站。 它也使用acme.com作为AD域名。 外部DNS设置正确。 内部DNS必须parsing为DC,原因很明显。 据我们所知,来自我们networking之外的访问者acme.com会将网站和访问者从我们的networking中访问到acme.com的网站打到域控制器,原因很明显。 我熟悉在这里和这里find的常见答案,这是违背最佳做法是使用相同的名称的DNS和AD域,并1)迁移我的AD域到另一个名称或2)使用httpredirect通过IIS每个在我的森林里的区议会。 根据我在维基百科和Reddit上读到的内容,似乎可以用SRVlogging来解决这个问题。 所以,我创build了以下SRVlogging,但它似乎不工作: _http._tcp.acme.com. 86400 IN SRV 0 100 80 www.acme.com. 甚至有可能仅使用SRVlogging将来自acme.com的内部http请求“redirect”到www.acme.com ?
我需要使用其他一些服务器(SQL和IIS)将Active Directory服务器迁移到AWS中,以便为我们的networking/开发创build开发和testing环境。 我现在的计划是简单地重新构buildAWS中的Active Directory服务器 – 这确实非常耗时! 我想知道是否有人build议将一个物理Active Directory服务器的副本迁移到云端的更好和更有效的方法? 服务器是Windows Server 2012。 谢谢!
我正在一个站点的Exchange 2013 CU6安装上工作 ,该站点的AD由两个Windows 2003域控制器( 在奇怪的HA集群configuration中 )组成。 已经添加了新的Windows 2012 R2 DC,并且迁移了必要的angular色。 2003年的系统还没有被降级,所以森林/域名function级别仍然是2003年。 我的问题是,Exchange 2013安装程序进程失败: 安装程序在validationActive Directory状态时遇到问题:找不到Enterprise Organization容器。 该错误链接到一个微软的文章 ,是不相关的情况。 这个环境从来没有一个Exchange服务器,所以没有任何遗留以前的安装/尝试的工件。 ADSIEdit的一个看法证实了这一点。 完整的安装日志条目如下所示: 10/16/2014 20:27:36.0204失败[规则:AdInitErrorRule] [消息:安装程序在validationActive Directory状态时遇到问题:找不到企业组织容器。 有关此错误的更多信息,请参阅Exchange安装日志。] 10/16/2014 20:27:36.0204 [REQUIRED]安装程序在validationActive Directory状态时遇到问题:找不到Enterprise Organization容器。 有关此错误的更多信息,请参阅Exchange安装日志。 DC复制看起来健康,DNS和AD站点和服务configuration正确。 通常的Exchange安装开关都不工作( /prepareSchema , /prepareAD )。 一切都失败,同样的错误。 任何想法如何进行?
我正在尝试将Active Directory DC设置为使用组策略自动安装Java 8 Update 25(jre1.8.0_25.msi)。 尝试在Computer Configuration > Policies > Software Settings中的GPO中添加jre1.8.0_25.msi软件包时,收到错误消息: 添加操作失败。 无法从软件包中提取部署信息。 在包上运行validation以确保包是正确的。 我如何在整个域中静默安装Java 8_25? 谢谢! UPDATE 使用这些页面的信息: https://www.java.com/en/download/help/msi_install.xml https://stackoverflow.com/questions/13084768/software-installation-startup-script-via-gpo 和这个页面的命令行: http://www.edugeek.net/forums/enterprise-software/143767-java-8-update-25-silent-install-via-sccm.html 我想出了这个脚本: :CheckOS if exist %systemdrive%\"Program Files (x86)" ( set bit=x64 ) else ( set bit=i586 ) :CheckInstall IF EXISTS %ProgramFiles%\Java\jre1.8.0_25\bin\java.exe GOTO END msiexec /i {[NETWORKFOLDER]}\Repo\Java\jre1.8.0_25-%bit%.msi AUTO_UPDATE=0 EULA=0 NOSTARTMENU=1 SPONSORS=0 WEB_ANALYTICS=0 […]
我目前正试图find最有效的方法将单个域分成两个截然不同的function齐全的域。 我们有两个地点,还有几个区议会。 站点A,站点B通过VPN隧道连接。 站点A包含3个DC,包括拥有所有FSMOangular色的DC。 网站B只包含一个单一的DC,以及一些客户端工作站。 Exchange未安装在此域中,因为这两个站点都使用基于云的电子邮件服务。 由于企业内部的组织变化,现在这两个网站将成为完全独立的实体 – 由不同方控制和pipe理。 因此,我们需要find一种方法来在AD中实现这种变化。 显然,做到这一点的一种方法是简单地在站点B创build一个新域,然后使用ADMT或某些第三方工具将所需的数据从站点A迁移到站点B. 但是,据我所知,我们需要一些额外的服务器硬件才能做到这一点,而ADMT迁移看起来并不像一个简单的过程。 我目前的计划是这样的:只需要终止站点A和站点B之间的VPN连接。将所有FSMOangular色都占用到站点B的DC上。清除域控制器上的任何剩余问题。 如果一切按计划进行,我们最终应该有两个完全相同的function领域,这两个网站都可以继续他们的生活。 在每个域中,我们只是删除其他DC的任何痕迹,就好像这些机器简直失败了一样。 我知道这是非常规的,但这是一个完全可怕的想法? 有没有什么警告,我应该知道哪些可以防止这种方式工作我期望的方式? 有没有人尝试过这样的事情? 更新:对于那些感兴趣的,我们实际上最终与这个计划。 几个星期以来,我们迄今没有任何问题。 显然有这样的风险,因为它没有得到微软的支持 – 所以我不会推荐这个解决scheme给任何人作为第一select。 但是,对于那些意识到风险和时间/资源短缺的人来说,知道在清理/angular色检测之后,可能在物理上拆分networking,并最终得到两个完全相同的工作域。 将AD完全迁移到大约一小时的工作后,我们对迄今为止的决定感到满意。 只有时间才能说明这是否是正确的select。
我们正在查询一些(几十个)LDAP服务器(主要是Active Directory,但不是唯一的)来确定哪些邮箱处于活动状态,以用于邮件网关/转发应用程序。 我们遇到了一些userAccountControl将位2设置为true的实例(又名ACCOUNTDISABLE),但邮箱仍处于活动状态。 我想这将对应于一个Windowslogin帐户被禁用,但邮箱仍处于活动状态。 这真的有道理吗? 或者这只是一个破碎的configuration? 如果它是有道理的,有什么办法通过LDAP来可靠地检测到这种configuration(即该userAccountControl被禁用,但邮箱没有被禁用)? 我们目前忽略了userAccountControl禁用的属性,因为它有时(尽pipeless数情况下)对应于一个活动邮箱。 我们希望能够可靠地检测到这种情况,而不是让这几百个“禁用”邮箱处于活动状态。
我在每个站点都有一个服务器的分支机构。 这些服务器分别作为域控制器,DNS,DHCP,文件和打印服务器以及ConfigMgr分发点。 他们目前运行Windows Server 2003.这些都是小型5-15用户办公室与蹩脚的有线互联网,所以短暂的广域网和电源故障相当频繁。 我用新硬件replace服务器并升级到server 2012。 我打算使用hyperv来使未来的迁移和硬件更改变得不那么痛苦,因此硬件升级可以像迁移虚拟机一样简单。 但我不确定什么是最好的设置。 我有几个select: 选项1 物理机器:Server 2012r2核心,join域名,只有HyperVangular色。 VM1:2012r2核心,域控制器(可能是RODC),DHCP,DNS VM2:2012r2 full,文件,打印和ConfigMgr。 选项2 与选项1相同,但主机未join域。 选项3 物理机器:Server 2012r2核心,Hyper-V,域控制器(也可能是RODC),DNS,DHCP。 VM:2012r2完整,文件和打印服务器和ConfigMgr。 我担心的是,经过长时间停电(每隔几个月发生一次),主机服务器将在VPN连接准备就绪之前开始备份,并且无法与任何域控制器通信。 这在更大的办公室造成我们的问题 – 虽然这是在一个具有CSV存储的HyperV群集,我认为有更多的authentication问题需要担心。 选项2消除了主机对AD的依赖,代价是需要更多的工作来pipe理,而更难做到VM迁移到其他主机等事情。 选项3看起来像是对广域网故障最有弹性的,但是违反了让HyperV主机执行hyperv的最佳做法。 这是我正在倾向的 – 虽然我宁愿select1,如果我可以相当肯定不会有服务器启动时,广域网closures的问题。 任何问题或其他select我失踪? 这里最好的路线是什么?
当通过组策略部署软件时,是否有任何特殊的技巧可以让你同时部署一个单独的configuration文件? 以下是具体的问题:我们有一个软件包可以部署,但是将其configuration保存到一个INI文件中。 是否有可能与MSI一起部署INI文件(通过GPO),以便应用程序可以“预configuration”吗? 在此先感谢,Beems