我有一个Windows 2008R2服务器的AD环境,其中一些Windows 7机器使用FolderRedirection。 有时我需要重新启动homefolder创build过程,但是我发现在login时重新创build文件夹的唯一方法是删除并重新创build帐户。 有没有办法手动启动初始login时发生的过程而不重新创build帐户?
我应用了本地组策略(计算机configuration – 软件限制策略),但是策略没有生效。 我试过这个域成员(机器与域控制器连接),也在工作组机器上。 我用gpupdate , gpupdate /force , gpupdate /force /boot ,没有任何工作。 我也可以看到rsop.msc的规则。 但是一旦重启机器,策略就不会生效。 如果我修改了任何政策或者添加了其他规则,政策就会立即生效,那为什么呢? 我可以应用本地组策略而不重新启动吗?
我需要让Solaris和AIX系统为AD获取身份validation和名称服务。 在使用OpenLDAP作为用户authentication代理的 Solaris上,我取得了一些成功。 我也成功地configuration了AIX使用AD kerberosauthentication和AD LDAP命名服务。 但是,对于这两个平台,我有两个严重的问题需要帮助: AD用户/组可能是大写或小写,或者它们的任意组合,但为了在UNIX中保持一致的最终用户体验和实用程序的正常工作,它们应该是小写的。 在AD中重命名ID很难销售。 Linux sssd可以做更低层的操作,但是AIX / Solaris不能。 AIX和Solaris期望组成员使用rfc2307'memberUid'属性(例如memberUid = user1),而AD使用rfc2307bis'member'属性(例如member = cn = user1,dc = foo,dc = com)。 有没有办法用OpenLDAP或其他方法来重写Solaris / AIX客户端成员的memberUid? slapo-rwm可以重写DN,但是像这样转换,似乎并不存在。
我们当前的设置使用两台DFS服务器充当DFS命名空间的引用服务器。 数据从Live服务器复制到第二个位置的DR服务器。 目标是让第二台服务器始终处于活动状态,但文件夹目标只能在活动网站上启用。 如果在正常情况下没有问题,这一切都可以正常工作,但我们遇到的问题是,在两个办事处之间的链接正在进行testing期间,名称空间变得不可用,我们无法创build新的名称空间。 在此事件期间运行诊断程序后,发现DFS命名空间需要访问主域控制器才能与命名空间进行交互。 因此,现在在“链接closures”testing期间,我们将FSMOangular色转移到灾难恢复域控制器,以便访问PDC。 现在,当我们能够创build新的名称空间,但仍然无法与当前的交互。 我们已经进行了主动目录运行状况testing,升级到2012 R2域以及完全清理和重buildDFS系统,并且每当链接closures时,即使PDC可用,DFS也会抱怨它不能再看到域或名称空间。 我现在完全没有想法,所以如果有人有任何经验,可以提供testingbuild议。 目前的解决scheme是,在这种情况下,我们基本上不能使用DFS命名空间,而是必须运行脚本来将path移动到漫游configuration文件和文件夹redirect到DR服务器,而不仅仅是在DFS上移动文件夹引用, t似乎应该是这样的,必须有一种方法来始终能够使用命名空间。 build立: AD域 – Windows 2012 R2。 2个DC在现场,2个DC在DR。 实时DFS服务器 – Windows 2012 R2。 启用引荐服务器,启用文件夹目标。 命名空间服务器启用。 DR DFS服务器 – Windows 2012 R2。 引荐服务器已启用,文件夹目标已禁用。 命名空间服务器启用。 数据复制方法 – Bvckup2。 我们使用用户主驱动器内的漫游configuration文件和文件夹redirect。
我有一个脚本,用于将新员工添加到我们的Active Directory域和组。 我们试图看看是否有一种方法,我们也可以添加时区的脚本,但我没有发现任何有用的如何做到这一点。 我们目前正在使用dsadd命令来添加用户,但我没有看到有一个选项来添加时区。 我们试了一下,看看它是否可以工作,我们确实得到错误,说这是一个未知的select。 我不确定可能需要什么额外的信息。 有任何问题或build议,请让我知道。
我有一个已经离线3个月的域控制器。 如果我正常恢复在线,将会因为现在60天以上的墓碑生命而导致问题。 什么是使该DC恢复在线状态的最佳方法? 执行AD的非授权还原是最简单的吗? 所以: 从networking启动DC 按F8启动DSRM中的域控制器 连接到networking 在恢复菜单中selectDSRM选项一次 非授权还原完成后,重新启动 还是应该进入安全模式,将DC降级回成员服务器,在域上运行元数据清理,然后将服务器重新升级为DC?
我的公司有一个中央Active Directory服务器,我们的团队拥有自己的OpenLDAP服务器来pipe理基础架构。 我想为我们的ldap用户使用相同的密码作为AD中的密码。 如何将某些属性的请求传递到AD服务器上?
使用以下命令成功创build了一个Group Managed Service Account(gMSA)后: add-adserviceaccount -name gmsaAccount -PrincipalsAllowedToDelegateToAccount gmsaGroup -DNSHostName gmsaAccount.test.local 我无法在目标主机上安装此帐户(gmsaGroup组的成员)。 我不知道问题是否与服务帐户相关的主机相关。 有没有一种方法(powershell命令?)来validation哪些主机与组pipe理的服务帐户关联和授权。 我试过get-adserviceaccount -identity gmsaAccount | fl * get-adserviceaccount -identity gmsaAccount | fl *但没有任何与主机或principalsAllowedToDelegateToAccount相关的principalsAllowedToDelegateToAccount被显示。 有关信息,当我尝试在目标Windows2012R2主机上运行install-adserviceaccount时,出现无用的“未知错误”消息(无错误代码)。
我有一台Windows Server 2012 R2虚拟机,作为在Windows Azure上运行的DC1和DNS服务器,以及作为DC2,DHCP和DNS服务器的Windows Server 2012 R2本地计算机。 我发现我的DNS服务器在两个DNS服务器上都没有运行。 当我启动DNS MMC时,我看到了屏幕: “服务器MYSERVER无法联系。 错误是: 访问被拒绝。 你还想补充吗?“ select“是”后,DNS MMC显示出来,但没有任何DNS区域。 除了删除DNS区域之外,我无法在MMC DNS上执行任何操作。 我检查了事件查看器,发现事件ID 4000和4007有很多错误,我在Microsoft支持上find了解决scheme。 该解决scheme在本地DC2上工作,但不在DC1上工作。 “C:> netdom resetpwd / server:/ userd:/ passwordd:* input与域用户关联的密码: 本地计算机的机器帐户密码无法重置。 指定的networking名称不再可用。 该命令未能成功完成。“ 它说指定的networking名称不再可用。 有些人说Symantec Endpoint Protection可能会导致此问题,但在DC1上没有运行杀毒软件。 在DC2上,即使我能够访问DNS服务器并进行更改,但是我无法将/ RDP ping到某些域计算机。 在这个问题发生之前,一切正常。 我已经为这个问题挣扎了两天,但仍然没有解决。 任何人都可以提供一些build议或解决这个问题,请? 注:我试过这个解决scheme,但它不适合我。
对不起,如果这个问题是错综复杂的,如果是重复的问题,很难search。 我没有钥匙到城堡,所以作为一个低级技术,我想知道为什么我不能使用名称为“name1”的计算机离开域,然后将其重命名为“name2”(从来没有已join域),并重新join。 我只会得到“拒绝访问”。 从AD中删除“name1”修复它。 为什么是这样? 什么告诉AD这个工作站以前是“name1”,mac地址? 这是pipe理员的一个有目的的select,或者这是如何build立Windows服务器,以防止安全问题,或者只是为了防止目录混乱? 欣赏任何见解。