在我们的活动目录(2008 R2)中,我使用授权来授予编辑用户信息属性,如电话号码,标题,邮政地址,…给一组非pipe理员用户。 现在这个组的成员现在可以编辑大多数用户的信息,但是他们不能编辑pipe理员的信息。 但为什么? 我没有发现任何可能造成这种情况的“拒绝”条款。
在Windows Server 2008 R2 AD上,如果取消选中用户帐户上的帐户选项“密码永不过期”,密码是否立即过期,或者是否设置为密码策略中定义的期限?
作为一个经过身份validation的Active Directory用户,我可以运行它来获取域GUID(objectGUID): dsquery * "DC=lab,DC=local" -scope base -attr objectguid 我可以在Linux中使用此命令从域控制器labdc01没有帐户(匿名)获取域(lab.local)SID: # rpcclient -U% labdc01.lab.local -c lsaquery Domain Name: LAB Domain Sid: S-1-5-21-3869872838-1836277878-698564084 如果我知道GUID,我可以从DNS获取它: _ldap._tcp.4f904480-7c78-11cf-b057-00aa006b4f8f.domains._msdcs.lab.local。 我怎样才能匿名获得域objectGUID(像上面的SID例子)?
我的任务是创build一个脚本,在文件中读入一个Active Directory用户ID列表,然后清除Password Never Expires的标志。 另外,我的安全官员不希望有这个设置的500个用户立即需要重新设置他们的密码,所以他希望90天的默认域策略在脚本运行的时候被归因于用户进入通常的密码轮换。 我一直在试图创build一个PowerShell脚本来做到这一点,并遇到问题。 无可否认,我并不是PowerShell的最佳人选,所以我会感激一些input。 我已经清除了标志,但是将PwdLastSet更改为-1将certificate是棘手的。 我认为这可能是因为我不知道如何读取文件,并从文件中读取两个“ForEach-Object”命令。 有人可以看看吗? Import-CSV PasswordExpiry.csv | ForEach-Object {Set-ADUser -Identity $_.SamAccountName -PasswordNeverExpires:$false} ForEach-Object { $samaccountname = $_.SamAccountName $today = Get-Date $lastchange = [datetime]::FromFileTime($_.pwdlastset[0]) $timediff = New-TimeSpan $lastchange $(Get-Date) $hoursdiff = $timediff.TotalHours if ($hoursdiff -lt $hourschange_sincePwdChange) { $todouser = Get-ADUser $samaccountname -Properties pwdLastSet $todouser.pwdLastSet = 0 Set-ADUser -Instance $todouser $todouser.pwdLastSet […]
当涉及AD结构中的组嵌套时,我意识到“AGDLP”的经验法则。 但是现在我想知道在将Active Directory组添加到“计算机”本地组时是否有任何最佳实践。 假设我有一台名为HOST_A的服务器运行远程桌面服务器angular色。 我想通过一个AD组来pipe理那些有权访问的人。 我将为此创build一个域本地组,让我们说“P_RemoteDesktopUsers_Host_A”,并使其成为称为“远程桌面用户”的计算机本地组的成员。 或者我应该select一个全球组范围? 如果是这样,为什么?
场景: 在Azure虚拟机上本地执行时,成功将计算机添加到AD,然后重新启动。 $DomainName = "test.local" $AdminUserName = "sysadmin" $Password = <mypass> $SecurePassword = ConvertTo-SecureString $Password -asplaintext -force $Credential = New-Object -Typename System.Management.Automation.PSCredential -Argumentlist $AdminUserName, $SecurePassword $Credential Add-Computer -DomainName $DomainName -Credential $Credential -Restart -Passthru -Verbose 题: 使用相同的variables,但现在在我的机器上运行脚本,以另一个Azure虚拟机作为目标,通过远程Powershell: $ScriptBlockContent = { Param ($Arg1,$Arg2) Add-Computer -DomainName $Arg1 -Credential $Arg2 -Restart -Passthru -Verbose} $Session = New-PSSession -ConnectionUri $Uri -Credential […]
我正在修改我公司的服务帐户,我们发现有些需要能够在本地login,有些只需login即可。 我创build了两个组,SvcAcct_Restricted和SvcAcct_Full。 “限制”通过GPO设置,拒绝任何forms的交互式login。 “完整”组是现在的占位符,但稍后可能会添加一些内容。 我希望每个服务帐户都属于两个组中的一个。 如果一个服务账号得到了需要的全部访问权限,就会被添加到受限制的群组中,服务失败,电话铃响,老板吹嘘,会议会议等等。 我想要做的就是防止任何用户帐户被添加到“受限制”组中,如果它已经是“满”的成员,反之亦然。 我popup高级安全设置,但没有看到任何看起来像“拒绝会员资格”的东西,而我的Google-fu今天是虚弱的。 AD架构位于Windows 2008R2。 任何帮助是极大的赞赏!
在Active Directory中,您可以将IP地址映射到客户端站点。 …然后您可以将组策略对象映射到站点。 这是一件好事,但我有一个快速增长的客户,他们预计在未来一两年内将有数百个网站。 我们的命名标准松散地基于LOCODE,所以每个站点都是7个字符,例如“USHQZOF”。 该前缀用于命名每台机器。 我到处都在制定相同的基本政策,我感到厌倦。 它的字面意思是: 将驱动器映射到\\ USHQZOFSRV01 \ officeshare 将主打印机映射到\\ USHQZOFSRV01 \复印机 我真的很喜欢它,如果我可以创build一个政策,我可以说: 将驱动器O映射到\\(site-name-from-ad)SRV01 \ officeshare 将主打印机映射到\\(站点名称从广告)SRV01 \复印机 …好好做。 看起来您可以在您的组策略首选项( https://technet.microsoft.com/en-us/library/Cc753915.aspx )中使用大量的环境variables,但是我没有看到任何关于客户端站点名称的信息。 我运气不好,还是我需要去“旧学校”,并在login时调用一个cscript / vbscript文件,查找并映射适当的项目? (编辑:我知道这可以用VBS文件来完成 – 我以前做过,似乎…不洁净…)
我有一个使用PowerShell Get-ADUser命令显示的用户,但是当我进入AD用户和计算机时,用户不可见。 我认为这与名称末尾的$有些关系,但是我对这一切都很陌生,只是被要求试图弄清楚谁是我们系统上的用户。 下面是PS命令的结果(我改变了查询返回的实际用户名): DistinguishedName : CN=Username$,CN=Users,DC=ourdomain,DC=org EmailAddress : Enabled : True GivenName : Name : Username$ ObjectClass : user ObjectGUID : e5dd0482-dac9-4f93-bc17-03d5f970943d PasswordExpired : False PasswordLastSet : 9/8/2015 5:49:15 PM PasswordNeverExpires : False SamAccountName : Username$ SID : S-1-5-21-2129867641-1687574238-1546849883-9191 Surname : UserPrincipalName : 对这个用户有什么想法? 谢谢
AD中的哪些设置使服务帐户成为服务帐户? 我知道login可能不应该给予任何人,除了pipe理员,它可能被用来运行一个服务,我也知道它的密码不应该过期,有时委派是必需的,如果它之间的服务器为另一项服务。 还有别的事吗?