我们是一个小型的大学,我有一个文件分享给我想要交给教练的田径队。 我们没有跟踪Active Directory中的运动队成员,也没有一个小组,教练希望排除某些子文件夹中的某些人,所以我希望教练能够直接在他们的队伍中添加/删除帐户他自己的文件夹的安全选项卡。 他知道得足够多,而且技术精湛,足以应付这个问题。 我不希望他能够做的是添加/删除任何pipe理组或特殊帐户:系统,networking服务(该文件夹与networking应用程序一起使用),域pipe理员,AthleticDeptAdmin等 是否有可能让我访问更改一些安全选项,而不允许删除其他权限?
我如何validationWindows Server 2008 R2 Active Directory中2个域之间的信任? 有没有一个工具呢? 马比pipe理单元什么的。
我知道这个问题已经有一段时间了。 但是我还是不太清楚。 为什么我不清楚? 人们有时会build议在物理硬件上最好有1个DC。 (即使是微软这样说)。 此外,计划在不同的虚拟机上的相同物理机器上安装Exchange Server和其他公司数据。 我听说人们仍然可以突破客串系统,将每一个虚拟机都封装起来,这是真的吗? 那么虚拟化所有域控制器是否好? 编辑:尝试让我的问题更多的话题。 关于我和我的情况 目前我是一名初级开发人员,并试图学习更多有关系统pipe理的知识,所以我在空闲时间帮助小公司。 我试图帮助他们的基础设施,如规划,pipe理和设置新的服务器/硬件。 我的一个公司问我是否有可能虚拟化域控制器。 build立 他们目前的安装程序是3台服务器,每台服务器都有一定的angular色。 3个服务器的angular色: DC和Exchange在同一台机器上 文件服务器 CRM和Office的terminal服务器。 磁带机是3台服务器的备份。 他们也有3台服务器没有连接到电源,如果一台服务器出现故障,那么这台服务器就会替代其他服务器。 我告诉他们,如果这些服务器在更换之前不能使用,那就是浪费钱。 所以他们和一家新的IT公司一起工作了一个新的IT概念。 新的Conecpt 2主机/被动configuration中使用Hyper-V虚拟化的服务器。 虚拟化一切: DC 交换 文件服务器 与CRM和Office的terminal服务器 这个概念似乎是非常好的,但是我脑海中有一些东西可能会让Active Directory虚拟化出现问题。 我为什么关心 自从我在本地公司尝试使用FreeIPA(类似于Active Directory)之后,我得出了这个结论,因为我们尝试集成一些Linux设备并寻找与FreeIPA的同步。 我们在Hyper-V和KVM上对FreeIPA进行了虚拟化,并且在时间同步服务方面遇到了很大的问题,所以我们在系统login时也遇到了问题。 我也search了整个互联网和微软相关的网站关于这个特定的主题,但是每一个环节都说build议在物理硬件上运行1个DC。 这里是Technet的文章,使我感到困惑。 http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(v=ws.10).aspx 在每个域中维护物理域控制器。 这可以降低影响所有使用该平台的主机系统的虚拟化平台故障风险。 哪些风险可能发生? 在虚拟化平台上可能出现哪些漏洞/漏洞/什么情况? 而且,如果我们有两台虚拟化服务器(这两台服务器是相同的硬件,两台戴尔服务器R520),是否存在这个bug / exploit攻击两台服务器的巨大风险? 另外我们还在做备份,所以如果我们打到一个bug,我们仍然可以恢复所有的东西。 无论如何,公司之前没有多余的设置,他们说这不是他们最关心的问题。 他们不想丢失数据,也不希望有任何安全风险。 我已经有一个来自MDMarra的好回答,他为我清理了一些东西。 但是他仍然表示它更多的是可用性问题而不是安全问题,但是当hyper-v平台发生灾难性故障时,我仍然会丢失数据/存在安全漏洞。 也许我有点偏执,但随着硬件越来越多,安全风险就越大。 也许我需要更多的答案来正确地解决我的问题,因为我仍然不会对任何客户说,这是一个虚拟化一切的好方法。
我们正在使用Server 2003域。 我已经find了安装Server 2012和更早版本的Active Directorypipe理单元的说明: http : //technet.microsoft.com/en-us/library/cc732110.aspx 。 但是它提到的DLL(schmmgmt.dll)在我们的2012 R2服务器上不存在。 我已经find了有关2012 R2 ADpipe理中心的信息,但是因为我们的域名是2003年的,所以我认为这些都不相关。 我可以在此服务器上运行ADpipe理单元,还是必须使用较旧的服务器?
提议的项目,以及大量的文档和选项,所以我一直在寻找意见或build议。 我正在创build一个全新的域,并在环境中安装Exchange 2010。 Server 2008将是DC。 有没有办法将现有邮箱或整个邮件存储迁移到新域,然后将这些邮箱映射到新域中的新用户对象(这将与旧用户对象相关…手动过程,我将这样做) 。 这是一个更明智的做法,还是应该使用ExMerge将邮件导出/导入到为新用户对象创build的空邮箱中? 我们不希望任何旧领域的鬼魂过来,所以创造“从头开始”就是意图。 显然logging,然后重新创build用户对象,组成员资格和权限将是关键。 只是寻找其他用户如何攻击这一事业的一些想法。 有维护旧的设置比较的缘由,join使新的DC域的一部分,然后做一个DOMAIN RENAME是有趣的,我讨厌是向导依赖和运行中断的迁移和兼容性问题,让我死了水。
我想使用Exchange 2010保护Outlook Web Access免受使用帐户locking的暴力攻击 。 做这个的最好方式是什么? 我有以下的组策略: 计算机configuration\ Windows设置\安全设置\帐户策略\帐户locking策略\ 账户locking时间10分钟 帐户locking阈值5次尝试 重置账户locking计数器10分钟后
我们有一台运行我们的域的Windows Server 2008 R2服务器。 我们有大约40个用户和大约30台电脑。 大多数用户都有自己的专用工作站,然而每天早上大约有5台计算机会被一个人login,然后每个人只需要使用自己的个人资料来检查一些东西(通常每次大约2分钟)。 我想知道是否有可能有这5台电脑在他们自己的OU的域名,然后以某种方式使他们自动login到通用的用户帐户,没有任何通常的驱动器映射等 有人可以在早上启动机器,直接进入通常用户configuration文件的locking版本。 这可能吗?
我们试图阻止用户将虚拟机和外部机器join我们的域。 默认情况下,任何用户最多可以join10台机器。 有没有办法限制这只有帐户操作员,域pipe理员和企业pipe理员?
我需要运行一个包含100个用户名的清单,并清除他们的寻呼机字段,这可以使用Power Shell来完成吗? 包含用户名的文件名的input如下所示:itaig haruth geloos fested
有一个奇怪和混乱(对我和用户)问题困扰authentication。 我不知道发生了多久,但我相信这是相当长的一段时间。 直到最近,通过使用帐户locking工具,我才意识到这些身份validation问题有时是由系统中的小故障引起的,而不是用户错误。 会发生什么是用户authentication正确,但系统拒绝他们的密码。 我想重复一遍:他们使用正确的用户名,密码和域login。 这不是胖胖的; 这不是客户问题; 这不是用户错误; 它不是一个过期的密码; 它不是特定于任何服务。 用户正确authentication的行为是DC将“失败的login”计数重置为0.当它们失败时,它将增加它并设置“最后失败”时间。 但是当这个故障发生时,两个都不会发生。 authentication尝试被拒绝,但计数不会增加1,也不会重置,并且最后的失败时间不会改变。 这个问题发生在多个设备和服务上。 今天,我有一个学生无法login多台电脑,以及networking邮箱。 我比较了计算机和DC的事件日志; 当用户错误地被拒绝(而且失败次数没有增加)以及当她被正确拒绝时,我认为没有什么区别,因为我有意错误input密码。 我自己做了这个,尝试login到学生刚创build的帐户(使用已知的密码scheme)。 我曾遇到许多通过AD进行身份validation的服务的用户。 这发生在工作人员,教师和学生。 据我所知,这是直接在区议会上的authentication问题; 有些东西不能用帐号,但不是过期密码,禁用等典型的罪魁祸首。 重置密码可以解决问题。 问题就此消失。 但是这个问题的发生频率(本周只有8-10个例子,最多100个networking密码重置)导致我认为这是一个严重的问题。 我不知道这个问题发生了多久。 如果不使用帐户locking工具,我将永远不会看到错误计数未能增加,因此认为用户错误地知道密码。 我发生过很多用户发誓他们知道他们的login事件,而且“昨天工作”。 如果有的话,我不知道有多less次是真的。 即使拿到了这个工具,也已经发生了多起事件,几个月之后,我才相信这是一个真正的问题。 直到我真的遇到了这种情况,input了学生的初始密码,看到失败数字没有上升,我真的相信了。 我们的AD环境大多在Windows Server 2008上。一些DC仍然是Server 2003.环境是单个域。 如果还有任何其他相关的技术细节需要排除故障,请让我知道。 编辑 :正如接受的答案显示,它确实是用户错误 。 事实certificate,这是一个真正的问题,当我login到一个新创build的帐户,它没有增加错误的密码计数失败。 我们有新帐户的标准以及重置密码的标准。 有可能另一个pipe理员忽略了标准,并将此用户的密码重置为其他内容。 当我试图login到新用户,并且错误的密码未能增加(但我被拒绝),我认为这是一个问题的certificate。 很多谷歌search未能find一个页面描述的情况下,密码错误计数不能上升…希望这个答案将有助于未来的其他人。