我试图找出一种方法来委派一个安全组的权限来将域控制器添加到域。 问题是我不想将它们添加到域pipe理员或企业pipe理员组中。 有没有人试过这个,你做了什么来成功地实现它? 我试图完成的是这个https://technet.microsoft.com/en-us/library/cc773327%28v=ws.10%29.aspx 我将所有权利授予我已经完成的特定安全组。 问题是我不希望这些pipe理员有域pipe理员权限来添加机器,用户和ou的,这是他们如果我将它们添加到域pipe理员组。 我已经尝试使用受限制的组..安全委派,但无论如何,允许他们添加副本到域的唯一方法是给他们域pipe理员权限。 完美世界将..把组“安装任务”在服务器的pipe理员组中,但不要与该域名的pipe理员关联…希望这是有道理的。 用户必须是正在升级的成员服务器上的Administrators组的成员。 必须预先创buildCN = Partitions,CN = Configuration,DC =下的crossRef对象 CN = Servers,CN =,CN = Sites,CN = Configuration,DC =的可inheritanceRP CN = Servers,CN =,CN = Sites,CN = Configuration,DC =的可inheritanceCC CC OU =域控制器,DC =创build计算机对象 完全控制正在升级的服务器的计算机对象 对CN =,CN = Sites,CN = Configuration,DC =的“创build者所有者”完全控制 在CN = Configuration,DC =上扩展了正确的DS-Replication-Get-Changes 在CN = Schema,CN = Configuration,DC =的情况下扩展了正确的DS-Replication-Get-Changes […]
我想避免rdesktop +点击通过DNS GUI,但希望能够推动从其他一些主机的条目,优先考虑任何域join的机器。 想法是为join域后注册DNS条目的Samba AD成员设置后join脚本。 想法?
我总是被教导进行域联接:将计算机添加到域(通过AD用户和计算机),在正确的区域,然后join它。 那有什么问题吗?
在我工作的领域,我们创build了一个属性“ regulationMatrix ”。 当我尝试像get-aduser USER -properties *一样的PowerShell命令时,只有当它具有像“ regulationMatrix:{PIC} ”设置的值时才显示特定属性,否则它不会出现在输出中。 该属性是最近添加的,现在我必须从一个OU中将这个属性添加到1000个用户。 有人可以帮我一个脚本或命令,例如修改特定OU的所有用户的属性。 谢谢。 $userlist = get-aduser -searchbase "OU=RandomOU,DC=contoso,DC=europa,DC=net" -filter * -properties regulationMatrix foreach ( $users in $userlist ) { $username = $users.samaccountname $reg = $users.regulationmatrix write-host $username write-host $reg set-aduser -identity $username -add @{'regulationMatrix'='PIC'} } 感谢丹尼尔,我想到要添加什么,这完美的工作。
我公司的一个用户忘记了他的密码,我不得不将它重置为临时密码。 我检查了“ 用户在下次login时必须更改密码 ”框。 当他login并input了临时密码和两次他新select的密码并确认后,popup一个错误消息:“ 这个帐户的密码此时不能更改 ”。 看看我们的组策略设置(见下面),我认为它与最小密码年龄有关 。 我将密码最短使用期限设置为90天,因此被迫更改密码的用户无法立即将更改恢复为旧密码。 但是,如何处理重置用户密码的过程,如果用户在最短密码时限内无法将其更改为永久密码 ? C:\>net accounts Force user logoff how long after time expirest?: Never Minimum password age (days): 90 Maximum password age (days): 365 Minimum password length: 7 Length of password history maintained: 4 Lockout threshold: 5 Lockout duration (minutes): 10 Lockout observation windows (minutes): 5 […]
当testing一个脚本在Windows 2008服务器上创build〜800个AD关键字时,出现以下错误: 目录服务耗尽了相对标识符池 在此之后,所有dsadd尝试导致约10秒的暂停, dsadd失败:指定的域不存在或无法联系。 重新启动服务器后,第一个dsadd会提供“用尽池”消息,然后是“不存在或无法联系” 在我看到的事件日志 分配给此域控制器的最大帐户标识符已被分配。 域控制器无法获得新的标识符池。 和 对新帐户标识池的请求失败。 操作将被重试,直到请求成功。 错误是“请求的FSMO操作失败,无法联系当前的FSMO持有者”。 检查RID / PDC /基础结构FSMOangular色显示他们全部分配给这个服务器(这是一个单一的服务器AD域),那么还有什么可能导致这个问题? 我已经重新启动服务器,但问题依然存在。
我们的一台客户端PC最近遇到了MS Word的随机崩溃问题。 我在客户端本地手动卸载Office 2003,运行“gpupdate / force / boot”,并希望客户端重新启动后重新安装Office。 它没有。 我跑了gpupdate几次,但似乎没有生效。 在事件日志中唯一感兴趣的是组策略软件设置已启用的常规信息。 任何想法,为什么它不会重新安装它自己? 组策略是否包含某种神奇的日志,以便跟踪它所安装的客户端? 编辑:组策略中的重新部署function是不可能的,因为它会在下次重新启动时在我们所有的计算机上重新安装Office。 编辑2:RSOP(cmd和mmc)显示部署的Office 2003软件包。 编辑3:尝试将计算机移动到具有稍微不同的软件包(但具有相同的Office 2003策略)的不同的OU。 其他软件在启动时安装,但仍然没有办公室。
当我到达目前的位置时,我们的环境几乎全部是Windows服务器。 但是,我对某些应用程序使用Linux很感兴趣,比如我被要求设置的webgallery,一个简单的SFTP服务器,用于监控的Nagios等等。 我很好地设置了这些,但不是Linux专家,我不知道如何正确地将这些服务器连接到域,因此想知道其他人遵循的程序或指南。 我们经常使用ping -a来快速找出某台服务器的主机名,但这似乎不适用于linux机器,很可能是因为我假设的整个WINS / NetBios事情。 我刚刚join了一个服务器到域,但可能错过了一些因为它不工作,即使在dnsflush后。 除此之外,我目前发现的夫妇手续相当广泛,大部分时间看起来并不值得。 最好的情况下,我下载某种客户端(smbclient?),input域名,也许服务器使用,提供pipe理员密码,就是这样。 这是可能的吗? 谢谢
我们正处于一种情况,我们希望能够让我们的客户能够自己pipe理用户。 目前约有300个客户,总共有10,000个用户。 除了创build,更新和删除用户之外,他们还会经常阅读关于用户的静态信息和其他有用的信息。 所有这些function都应该可以从用户通过Citrix或类似网站访问的Intranet网页(.NET Framework 4)中获得。 现在的问题是,我们真的希望用户不要直接为每个请求查询AD,而是让他们击中与AD同步的数据库。 每天运行一次同步(可能每隔5小时)就足够了。 当他们创build一个用户时,它不应该立即可用,而是在两天之内审查并创build(下一步将删除这个手动审查,但是这个问题已经超出了范围)。 你对AD的这种同步有什么看法? 有没有人有任何经验,这是在其他组织做的事情,在那里你会有很多的请求,这是比AD更好地处理数据库(我假设)? 是否有任何技术用于编写这样一个脚本,使AD与数据库表同步? 我主要关心的是群体/成员之间的关系,这可能相当复杂。 还是有软件同步AD与数据库? 任何意见将不胜感激。 谢谢。
我很伤心,因为我没有得到正确的答案。 让我再次澄清相同的情况。 我有一个名为DC-1的DC和另一个名为DC-2的DC。 DC-1和DC-2都是名称服务器。 DC-1拥有所有5个angular色。 DC-1由于硬件故障(假设)而closures,不再可用。 我甚至不能启动它。 现在我的问题是我怎么能调出ADC(DC-2)作为一个活跃的DC,因为我所有的angular色都属于DC-1。 如果涉及到把angular色从DC-1抓到DC-2,是的我试了一下。 让我分享结果。 我)我去了DSRM DC-2,并尝试ntdsutil命令是这样的:ntdsutil> roles> connections>连接到服务器: ii)当我尝试连接到服务器时,我无法连接任何DC-1或DC-2。 我尝试了“Set creds”,但我没有工作。 iii)试图连接域名没有运气:( 四)因为这是一个testing环境,我把DC-1带回来,并且从DC-2再次尝试了这个步骤,这是成功的。 我能够连接到服务器。 但是我们不想要这个。 当DC-1完全处于死亡状态时,我们需要这个。 好。 我希望你们都了解我的危机..有人可以帮助这里。 我是否做了错误的步骤或任何其他方法来调出具有DC-1以上的所有angular色的DC-2。 请分享您宝贵的知识和专业知识!