我试图find一个Active Directory用户属性列表,我可以使用它进行定制,而不必扩展架构。 我们正在使用2008R2function级别。 我导出了所有属性的PowerShell列表。 但我不知道如何知道哪些是我可以编辑的用户信息(如displayname,phone,employee-id)和AD-Data,我不应该手动编辑(dn,accountexpires)。 我可以从这个列表中看到一些明显的例如employee-id,extensionAttribute1-15。 Get-QADUser 'username' -IncludeAllProperties | Get-Member -MemberType Properties 我find了几个列出所有属性的网站,但没有一个能区分用户信息和AD-Data。 此Microsoft列表将属性分为属性集:公用信息,用户login等,但仍不会将用户信息和AD数据之间的列表分开。 它也不包括employee-id或extensionAttribute1-15 问题:是否列出可以用于自定义的Active Directory用户属性? 谢谢 编辑:其他信息:我们的开发人员希望附加一些信息到一个新的应用程序的所有用户帐户。 他们想要附加的数据的第一个例子是employee-id。 这个字段已经存在于AD中。 我不反对扩展模式,我只是不想不必要地改变事物或复制已经存在的字段。 如果我可以给他们一个清单,可能会有一些我们可以使用的适当名称的字段。 如果没有,那么我将扩展架构。 重写的问题:我可以使用哪些属性(例如,显示名称,电话号码,员工ID)? 我应该单独留下哪些属性(dn,lastModifiedDate,accountexpires)?
我有一个Windows Server 2012 R2是我的域控制器。 我只想为几个用户禁用密码复杂性规则。 我在AD中创build了一个组(称为Formation)来标识这些域用户。 我已经在OU中定义了一个GPO来禁用密码复杂性规则,并且已将新组分配给此GPO。 我希望这可以工作,但是当我(在同一台服务器上)pipe理AD中的用户时,我尝试初始化密码,但仍然收到错误消息,指出没有遵循密码复杂性规则。 我试图运行gpupdate / force但没有成功…我还应该寻找什么来解决这个问题? 密码政策是一个电脑configuration,我想申请这个给用户,这是问题的一部分?
每个Active Directory域控制器充当KDC,AFAIK。 但是有没有什么情况下Active Directory可以有一个独立的 KDC服务器? Active Directory甚至有可能吗?
我正在尝试安装Azure AD连接,以将本地AD与Azure同步。 我认为整个过程很简单。 但是,我正面临一个奇怪的问题。 我已经创build了服务帐户,它具有与Azure AD一起使用所需的所有权限(它基本上是域pipe理员)。 我想要使用完整安装的SQL Server而不是Express。 因此,我select自定义安装并获得没有任何文字的红线(这似乎是一个错误,但没有文字)。 我被困在这一点上。 你知道我错过了什么吗? 谢谢!
我准备将我们当前的域从Server 2008 R2服务器推广到Server 2016.所有的dcdiag检查和replmon检查都很好,看起来准备就绪。 不过,我一直在阅读DFSR,并意识到我们仍然在FRS上。 我的问题是,我现在需要迁移到DFSR(这是build议通过FRS),还是这样做,当新的域控制器被提升? 或者,如果我应该在我将域名推广到2016年之后迁移?
我有一台服务器作为域控制器。 它运行的是Windows 2008标准版。 将此域迁移到另一台运行Windows 2008的计算机需要执行哪些步骤? 我想要详细列出所有需要的步骤和任何陷阱。
有没有办法来减less尝试连接到域networking资源的超时? (Windowsloginvalidation,networking打印机,networking共享等) 我有一系列笔记本电脑(戴尔的纬度,相同的硬件),正在使用的漫游员工,现场花费一半的时间,并通过扩展坞连接到我们的networking。 当他们连接到networking,并启动他们的机器需要1分25秒(+/- 10秒)启动。 如果我从networking断开它们,则需要4到6分钟的时间。 如果我卸载共享,并没有启动自动挂载需要4到5分钟。 如果我卸载所有networking打印机,它将启动时间缩短到3到4分钟。 如果我使用远程域networking的networking连接进行引导,但使用启动时自动连接的vpn连接,启动需要2到3分钟。 我假设引导延迟是由于尝试连接到networking服务的超时堆栈引起的。 当我离开networking或closures时,我不希望删除所有的打印机和networking共享,以防止随后引导脱机的速度变慢。
这里说明政策必须坚持 密码必须符合复杂性要求,以确定是否强制执行密码复杂性。 如果启用此设置,则用户密码满足以下要求: 密码至less有六个字符。 密码至less包含以下五个类别中的三个字符: 英文大写字母(A – Z) 英文小写字母(a – z) 基地10位数字(0 – 9) 非字母数字(例如:!,$,#或%) Unicode字符 密码不包含用户帐户名称中的三个或更多字符。 他们只是设置为启用或禁用此function。 我想知道是否有办法改变这个政策? 如果在哪里?
我们试图让SQL运行在一个域帐户下,但是我们不确定服务启动需要什么权限。 目前它只是活动目录域中的一个标准用户(它不会让服务启动),我假设这个用户帐户将需要对Program Files \ Microsoft SQL Server目录的权限。 但它是否需要访问其他任何权限? 谢谢。 迈尔斯。
我在一个Unix主机上,正在寻找一个编程方式来确定最接近的DC。 微软有一篇很好的文章解释了如何执行DNS查询,我可以很容易地find可用的DC列表: dig -t SRV _ldap._tcp.dc._msdcs.example.com 但是关于find最接近的,它解释说: 客户端find域控制器后,使用LDAPbuild立通信以获得对Active Directory的访问权限。 作为协商的一部分,域控制器根据客户端的IP子网标识客户端在哪个站点。 如果客户端与不在最近(最佳)站点的域控制器进行通信,则域控制器将返回客户站点的名称。 到目前为止,我一直无法findLDAP查询过程中“返回客户站点名称”的位置。 有没有一个特定的查询,我应该得到这个,或者一些其他的技术,可以在一个Unix主机上没有join到域中执行? 编辑:感谢Sim的指针,我已经学会如何find正确的DC,一旦我知道我的网站(在这个例子中,“mysite”作为example.com的一部分): dig -t SRV _ldap._tcp.mysite._sites.dc._msdcs.example.com 但是这留下了如何确定我的网站的问题。 反复的文件表明,我连接任何DC将为我工作,但我找不到文件,说如何返回给我的信息。 我甚至试着直接向DNS发送DNS查询,看看他们是否会用我的站点排在最前面的SRV结果,但是他们没有。