每个Active Directory站点都有两组站点链接 – 一组设置为HQ,一组设置为DR。 与总部的链接是100成本。 DR的链接是200的成本。 KCC(显然)通过100个成本站点链接产生连接。 我们打算在下个月将所有的HQ下线以进行电源维护,这将导致远程站点的KCC用现有的复制对象replaceHQ,并通过200个成本链路对DR进行DR。 当我们把HQ备份起来的时候,远程站点的KCC会自动把这个复制对象replace成DR站点的HQ? 我的直觉告诉我们“当然这是可行的!”,但是一些微软文档说: 有两个阶段的拓扑生成。 在第一阶段,KCC评估当前拓扑结构,确定现有连接是否发生复制失败,并构build完成复制拓扑所需的任何新连接对象。 在第二阶段,KCC将在第一阶段做出的决定实施或“翻译”为复制伙伴之间的协议。 这使得听起来像KCC只会在复制失败的情况下重新计算复制拓扑。 如果你告诉我在一个循环中重新joinrepadmin /kcc ,我会空手道在喉咙砍你。
目前,我们有一个名为:Limited_IT_Admins的安全组,它具有特殊的权限(仅限于某些他们可以执行的任务),在国家OU内的〜7个城市OU中。 [Country] <- top level OU [City01] [City02] [City03] [City04] [City05] [City06] [City07] 但是,现在我必须把这个安全小组分成三个小组。 来自Limited_IT_Admin组的用户将被分成三个独立的新组。 用户将需要与Limited_IT_Admins相同的访问权限,但只能在其各自的OU上访问。 Limited_IT_Admin_01 – User01 City01, City02, City03 Limited_IT_Admin_02 – User02 City04, City05 Limited_IT_Admin_03 – User03 City06, City07 而不必尝试重新创build在安全组上设置的所有特殊权限,有没有更简单的方法来将Limited_IT_Admins的权限复制到三个新组?
通常的域用户帐户被用作服务帐户。 使用域用户帐户,只要使用用户主体名称(UPN)来引用帐户,用户名就可以长达64个字符,例如[email protected] 。 如果您仍使用传统的Windows 2000以前的名称(SAM),则必须将其截断为mydomain\truncname个字符,例如mydomain\truncname 。 使用New-ADServiceAccount PowerShell cmdlet创build新的Group Managed Service Account(gMSA)时,如果指定了长于15个字符的名称,则会返回错误。 要指定更长的名称,必须单独指定SAM名称,例如: New-ADServiceAccount -Name longname -SamAccountName truncname … 要configuration服务作为新的gMSA运行,我可以使用旧的用户名格式mydomain\truncname$但在2013年使用最多15个字符的用户名是一种气味。 我如何使用UPN风格的格式来引用gMSA? 我试了longname$@domainfqdn方法,但是没有奏效。 也似乎AD中的gMSA对象没有指定userPrincipalName属性值。
我们正在将一些虚拟机和云服务迁移到Azure,但是我们需要这些服务来连接到我们的合作伙伴的AD。 我是一个开发人员,而不是一个系统pipe理员,所以我不知道如何做到这一点,或者甚至是可能的。 从我的理解,我们将需要做这样的事情: 在Azure中设置虚拟networking 在Azure和合作伙伴的数据中心之间build立站点到站点的VPN 在Azure中设置Cloud Services / VM(在#1的VNet中) 在Azure AD中build立一个域,比方说我们称之为“AzureDomain” 在Azure AD域和我们的合作伙伴的AD域(“PartnerDomain”)之间build立信任关系。 在Azure云服务/虚拟机中设置Windows服务/ IIS AppPools以在Azure AD域中的帐户下运行,例如“AzureDomain \ service_account” 将合作伙伴授予权限给“AzureDomain \ service_account”以访问它所需的任何networking共享/数据库/等资源。 我有没有错过任何步骤? 例如,是否需要某种types的AD同步,AzureDomain =>合作伙伴的DC或PartnerDomain => Azure DC? 我不关心Azure基础架构中的服务在Azure AD中的帐户下运行,还是在合作伙伴的AD中运行。 我只想要最简单的解决scheme,它将允许Azure中的服务访问合作伙伴数据中心中的资源。
如何使用组策略禁用文件夹redirect的SID安全检查? 这不是关于削弱安全性,而是关于让Active Directory和Samba很好地结合在一起。 我有一个Kerberized REALM信任的Samba服务器。 用户可以读写他们应该能够读写的内容。 用户不能读写他们不应该读写的内容。 但是,如果我尝试使用它来进行文件夹redirect,则会出现类似以下的错误。 EventData FromFolder RoamingAppData ToFolder \\samba.example.com\home\username\.AppData Options 0x9219 Error Can't create folder "\\samba.example.com\home\username\.AppData" ErrorDetails This security ID may not be assigned as the owner of this object. 漫游configuration文件没有相同的问题,但我必须启用: Computuer Configuration \ Administrative Templates \ System \ User Profiles \ Do not check for user ownership of Roaming Profile […]
我只想知道,如果我将防火墙放置在Windows客户端(XP或7)和域控制器(Window Server 2008 R2)之间,哪个端口需要打开, 请注意它在客户和DC之间,而不在DC到DC之间 我search谷歌,但在谷歌我得到的答案是在客户之间,以及从DC到DC。 根据我的发现,我需要打开。 TCP和UDP端口88用于Kerberos身份validation 用于LDAP的TCP和UDP 389 用于SMB / CIFS / SMB2的TCP和UDP 445 TCP和UDP端口464用于Kerberos密码更改 全球目录的TCP端口3268和3269 TCP和UDP端口53用于DNS TCP和UDPdynamic – 1025到5000(Windows Server 2003)和从49152到65535(Windows Server 2008)的DCOM,RPC,EPM 让我知道,如果我失去了一些东西。 注意: – 仅在Client和DC之间。
我需要用电子邮件地址创build许多组。 我宁愿使用安全组来减less我们必须维护的组的数量,否则我们将为这些安全组的每个安全组设置一个相同的分发组。 我们正在使用Google Apps群组,而不是Exchange。 我find的所有Exchange解决scheme,我不知道安装Exchange相关的工具,并使用Mail-Enable命令(等)是正确的路要走。 我可以通过GUI看到,在电子邮件字段中input设置mail属性,但我似乎无法弄清楚如何使用PowerShell设置它。 我会认为这将工作: $group.mail = $email Set-ADGroup $group 但没有运气。 我怎样才能设置mail属性?
我有问题从一个DC复制AD到另一个。 两台服务器都是Windows Server 2008 R2 SP1。 我在网站和服务中使用了GUI选项来强制复制。 我也试过repadmin和ntsdutil。 我试过的repadmin命令是: repadmin /replicate mars zeus dc=CS,dc=local 当我尝试repadmin时出现错误: 由于以下错误,Repadmin无法连接到“主服务器”。 尝试使用/ homeserver指定不同的主服务器:[dns name] 我从[here]下载了Active Directory复制状态工具:在运行复制状态后,我收到了以下错误。 1 我创build了一个YouTubevideo,更好地解释我的问题: 这里的video 我希望有人能帮我复制我的两个DC与AD。 我真的不知道下一步该做什么,或者还有其他的尝试。
我们首次在组织中实施组策略,并对最佳实践和function提出了一些问题。 我们已经做了一些工作,想看看有没有更好的办法。 我们目前的设置 我们的安全过滤设置如下: EXCEPT Firewall AllowFilePrintSharing Group: Firewall AllowFilePrintSharing PCs EXCEPT Firewall AllowRDP Group: EXCEPT Firewall AllowRDP PCs EXCEPT Firewall Unmanaged Group: EXCEPT Firewall Unmanaged PCs Workstations Policy Authenticated Users Folder Redirection Group: Folder Redirection PCs Authenticated Users Proxy Disabled Group: Proxy Disabled PCs Authenticated Users Loopback Policy Processing – Replace Authenticated Users 我们的目标 […]
我有一个PowerShell脚本,我用来创build新的用户。 每年我们增加数百名实习生,所以自动化是至关重要的。 有人在HR运行脚本,所以脚本应该是万无一失的。 我遇到了两个添加了新function的竞争条件,我想用比当前方法(睡眠2分钟)更可靠的方式来解决这个问题,但这个方法仍然会间歇性地失败。 1)Office 365许可证激活。 在尝试激活许可证之前,我使用Start-OnlineCoexistenceSync命令强制Office 365与我们的本地AD同步。 据我所知,没有办法检查同步的状态。 所以我延迟2分钟。 在testing中,它已经工作,但在生产中间歇性地工作。 我认为扩大等待会解决,但2分钟已经感觉很长。 显然有时比需要的时间更长,我讨厌有不必要的延误。 2)发送欢迎电子邮件。 帐户可能需要花费不同的时间来创build(有时会完全失败),但我不想过度延迟脚本。 任何build议如何解决?