我的一部分工作是确保对于特定OU中的计算机,实际上正在使用什么= AD中列出的内容= SCCM中列出的内容。 这是一个25万台电脑的环境,但我特别关心一个部门的70K。 将AD与SCCM进行比较是相当容易的,但是更难以追踪那些并不存在的计算机。 我试图想出创造性的方法来解决这个问题。 我的问题是:find不存在的机器查询AD与Powershell的计算机没有loginX天的好方法? 我想在PowerShell中更复杂的任务如下:从AD中拉dnshostnames Ping我的OU中的所有主机,并成功,将它们从列表中删除。 每6个小时运行一个星期一个星期,继续删除ping成功的机器。 笔记本电脑,我将不得不处理不同。 任何其他想法,build议等?
我们公司是一个相当小的商店。 尽pipe如此,我们希望“做正确的事情”,其中一部分就是实施Active Directory。 但是,我们没有全职系统pipe理员的预算来为我们pipe理它。 我在想: 是否有可能将我们的Active Directory服务器的pipe理外包给第三方? 将Active Directory服务器的pipe理外包给第三方是否可行 ? 它有多安全? 例如,在密码重置的情况下,服务提供商会采取什么措施来确保请求者是谁? 正如我在这里读到的其他职位在serverfault,主办一个Active Directory服务器不是一个好主意。 但是,如果服务器在我们的网站,那么提供商如何pipe理它,而不必每次都实际访问我们的网站? 谢谢!
据我所知,有两种方法可以将AD升级到更新的版本(比如从2003/2008到2008R2):通过添加新的DC /对现有DC进行就地升级,并使用ADMT迁移到新的目录林/域。 最新的选项保证你的模式将是干净的,你重新开始,但是对于环境来说更难以破坏。 我的问题是我该如何testing(除了DCDIAG)或者我应该检查什么,以确保在没有域名/森林迁移的情况下进行升级对我来说是不错的,我不会从传统环境中带来任何问题/问题在升级一个? 除了需要整合名称和对传统AD架构的温馨关注之外,有哪些东西可以certificate通过迁移到新的域/森林来升级AD?
ldapsearch -H <URL> -b <BASE> -s sub -D <USER> -x -w <PW> 工作正常 kinit <USER>@<REALM> ldapsearch -H <URL> -b <BASE> -s sub 失败: text: 000004DC: LdapErr: DSID-0C0906E8, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v1db1 kinit Administrator@<REALM> ldapsearch -H <URL> -b <BASE> -s sub […]
在Active Directory中,我们使用一个合适的值(在这种情况下为EmployeeId)填充Mailnickname。 当用户转到Outlook时,inputmailnickname(employeeId),Outlook将查找GAL(首先是本地caching,但与此问题无关)。 见例1。 如果我们想要为每个用户实现几个“邮件名称”,那怎么办呢? 忘记具体字段“mailnickname”,这是一个单一的string属性 – 但其他方式进入一系列的“mailnicknames”/别名到Outlook – 并find合适的人。 见例2。 示例1(标准function) 用户:鲍勃 Mailnickname(s):{123} 在outlook领域,我input:123 – 它发现鲍勃的帐户。 实例2(所需function) 属性 用户:鲍勃 邮件名字:{123,456,789} 在outlook领域,我input:123 – 它发现鲍勃的帐户。 在outlook领域,我input:456 – 它发现鲍勃的帐户。 在outlook领域,我input:789 – 它发现鲍勃的帐户。 AD / Exchange中是否有适用于此场景的字段? 是否有其他方法来完成相同的function? 说明 我可以理解为什么这听起来像一个奇怪的要求。 我将解释背景。 在公司人力资源系统中,人们被分配了一个ID(123,456等)。 然后该ID被用作他们的login名(samaccountname)。 为了避免最终用户不得不记住一个新的ID,必须重新命名他们的AD账户和一堆账户,这样他们的雇佣状态的某些变化将触发他们需要分配额外的人力资源ID来处理税收,报告等。其他相关的系统,我们继续使用他们的第一个ID作为他们的samaacountname。 我们还将此HR ID设置为邮件名称。 如果我想给别人发电子邮件,我会要求他们的人力资源编号,并在现场input,然后解决。 这很好,HR以外的人很less看到第二个(或第三个)HR ID。 但是在HR系统的一些报表和屏幕上,可见的是第二个(或第三个)HR ID,而不是与他们的samaccountname和mailnickname相对应的HR ID。 那么接下来的问题是,我们可以将这些第二和第三个HR ID添加为某种别名,这样他们就可以解决了。 我们已经将人力资源系统与AD账户pipe理充分结合起来,所以如果能够find一个交stream/ AD的方式,实施起来是非常直接的。
安装ad-lds时,您可以select导入多个LDF文件。 其中一些在这里描述: http : //technet.microsoft.com/en-us/library/cc771943.aspx 。 谁能告诉我MS-Membership Transitive.LDF文件是关于什么的?
我们可以通过本地机器对远程托pipe的DC进行身份validation,而无需VPN连接到服务器。 服务器有公共IP和本地机器正在使用NAT。 目前没有任何其他连接除了Internet访问像VPN这样的服务器。 所以请给我一个这种情况的build议,以及如何validation远程DC没有VPN? 或者哪个是正确的方式来validation远程DC和如何做到这一点? 提前致谢
我是PowerShell新手。 我正在尝试创build一个显示即将到期的AD帐户的报告。 报告应该包括用户名,AccountExpirationDate和经理。 到目前为止,我有以下几点: $users = Search-ADAccount -AccountExpiring -TimeSpan "7" | Select-Object Name,AccountExpirationDate | Sort-Object AccountExpirationDate $manager = Search-ADAccount -AccountExpiring -TimeSpan "7" | Get-aduser -Properties Manager | Select-Object @{n="ManagerName";e={(Get-ADUser -Identity $_.Manager -Properties displayName).DisplayName}} 无论如何,我可以将结果合并到一张表中吗?
将计算机对象添加到AD组时,组成员身份在哪个时间点变为活动状态? 是否有某种types的kerberos刷新间隔(类似于组策略刷新)? 我知道它变得活跃,当计算机重新启动时,我也知道klist -lh 0 -li 0x3e7 purge技巧。
我是新来的AD和Windows服务器,这听起来应该是非常明显的,但我似乎无法弄清楚树和森林之间的区别。 根据我正在阅读的书: Active Directory For Dummies : 简而言之,只有在需要使用多个名称空间的情况下才能创build一个林。 如果因为需要多个命名结构而需要多个命名空间,则需要为每个命名空间规划一个额外的树。 这本书还提供了这个图表: 我不完全理解这个陈述,但是根据图表,如果你有Corp.com和Newcorp.com ,你应该在同一个森林里有两棵树,而不是两个不同的森林。 但是根据这个: Windows Active Directory命名最佳实践? 主要推荐的方式命名你的“广告”,我认为他们的意思是森林,是: 您公开使用的域中未使用的子域。 例如,如果您的公开networking存在是example.com您的内部AD可能会被命名为ad.example.com或internal.example.com 。 使用推荐的方式,如果您将活动目录命名为ad.Corp.com,并且以后需要将ad.Newcorp.com添加到您的目录林中,那么看起来这将会非常奇怪,因为ad.Newcorp.com将会成为名为ad.Corp.com的森林中的一棵树。 我在这里错过了什么? 编辑: 根据https://www.youtube.com/watch?v=Whh3kPS0FdA ,如果您符合以下条件,您几乎只需要一个新的森林: 与另一家公司的AD森林有不同的架构 正在testing对模式进行更改的应用程序,并且不希望它影响生产模式 我最大的问题是:你会怎样命名你的森林,这样即使你以后添加了不同的DNS命名空间(比如添加NewCorp.com),你也不会得到一个名为Corp.com的森林,其中有一棵名为NewCorp.com的树,还是更怪的东西? 如果一个森林可以包含多个DNS名称空间,为什么build议将它命名为ad.example.com而不是某种通用名称? 编辑2: 同一本书build议使用像AD.LOCAL这样的通用名称作为森林根域的名称,这是有道理的,因为这样可以让您拥有多个DNS名称空间。 然而,使用SOMETHING.LOCAL不再被视为森林根域的好名字,那么新build议的命名约定如何处理不同的DNS名称空间呢?