我有一个使用Win 2008 R2机器的小型2 DC域。 最近,一个人不得不使用备份执行系统恢复来恢复。 现在这两个失败的复制。 我在两个版本上都运行了DCDIAG(请参阅下文),并发现有几件事情因目标主体名称不正确而失败。 在检查DNS时,以及SETSPN命令来检查,两个DC似乎有对方的条目,所以我不知道我做错了什么或接下来的步骤是什么。 任何帮助将不胜感激! 域控制器: terminal教条 中央教条(这是最近恢复的) terminal教条的DCDiag(PasteBin) DCDiag for Central-Dogma(PasteBin)
我有一个新的RHEL 7.2服务器安装,我想join到AD域。 我已经在AD中预先安装了计算机名称,当按照“ 红帽企业版Linux 7 Windows集成指南”中的说明操作时,会出现以下情况。 我在我的部门使用分割DNS:权威的校园内的DNS服务器正在运行BIND, 不支持dynamic更新,所以我在我的部门运行一对Windows DNS服务器。 思考? 谢谢! [root@dept-example ~]# realm discover -v example.edu * Resolving: _ldap._tcp.example.edu * Performing LDAP DSE lookup on: 192.0.2.177 * Performing LDAP DSE lookup on: 192.0.2.176 * Successfully discovered: example.edu example.edu type: kerberos realm-name: EXAMPLE.EDU domain-name: example.edu configured: no server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir […]
我在文件服务器上有一个非常奇怪的NTFS权限现象,我找不到我的错误,现在把我的头发拉出几个小时。 我错过了什么? 我的目标是: 来自组A的用户应该能够将新的文件/折叠文件写入文件夹(“添加文件”)。 他们也应该能够编辑这些新添加的文件。 在晚上,新join的文件应该受到“保护”,免受Group-A的进一步编辑/删除。 应该保留阅读文件的权利和添加更多新文件的权利。 这是我做的: 创build组A,添加用户 给Group-A(F)访问该文件夹 创build一个脚本 删除文件夹中文件的inheritance位 删除(F)访问文件,只读权限 问题是,我的用户可以编辑和删除文件,如他们有完全访问权限。 即使“有效权限”显示无权编辑,仍然可以。 脚本工作正常,看起来像这样: icacls d:\folder\Bild1.jpg /inheritance:d icacls d:\folder\Bild1.jpg /remove:g Group-A" 脚本运行后,file.jpg上的NTFS权限如下所示(对我来说看起来是正确的): 那么icacls输出: d:\folder>icacls Bild1.jpg Bild1.jpg WM\DomainAdmin:(F) WM\Domänen-Admins:(F) WM\Group-A:(RX) 该文件的有效权限选项卡显示完全相同(正确)的事情: 父文件夹的权限,用户应该可以在这里添加文件,如下所示: Artweger WM\Group-A:(I)(OI)(CI)(F) WM\Domänen-Admins:(I)(OI)(CI)(F) 如果这个用户login(他只是两个组,Domain-Users和Group-A),他可以编辑,删除,重命名和移动文件bild1.jpg。 这怎么可能? NTFS对我的光荣计划有什么作用?
我试图委托在我们的Active Directory域中解锁用户帐户的权利。 这应该很容易,而且我之前做过…但是每次用户试图解锁一个帐户(使用LockoutStatus工具 )时,他都会被拒绝,错误是“您没有必要的权限来解锁此帐户“。 以下是我所做的: 我创build了一个域本地组,并添加了应该拥有这些权限的成员。 这是一个多星期前创build的,所以用户已经注销并重新login。 在ADUC中,我使用包含我们的用户帐户的OU上的委托权向导授予读取lockoutTime和Writer lockoutTime到组的权限,每个MSKB 279723 我已经仔细检查了在ADSIEdit中正确应用的权限。 我强制所有域控制器之间的复制,以确保权限更改被复制。 用户testing它已经注销,并再次确保他有任何更改应用到他的帐户。 这涵盖了我所能想到的所有基础。 还有什么我可能会失踪?
是否有一个ADUC设置可以防止某些用户帐户被locking,特别是在x次login尝试失败后? 哦,我们的DC目前在Server 2003上,但是我们也在其他环境中使用Server 2008 DC。
我有一个全新的Active Directory( CORP-AD )安装在Windows 2008R2上运行。 我有一个域控制器( PDC01 )和一个成员服务器( ME01 )。 成员服务器有一个C:和一个D:驱动器。 我们的标准构build的一部分是从D:驱动器的根除去所有权限,除了: SYSTEM(完全控制) pipe理员(完全控制) 我创build了一个新的域用户ADMIN01并授予它成为Domain Admins组的成员。 Domain Admins是成员服务器的本地Administrators组的成员。 当我作为域用户ADMIN01 (通过RDP)login到成员服务器ME01 ,该用户无法访问D:驱动器。 然后,我尝试将完全控制的Domain Admins组添加到D:驱动器的根目录,但是我的ADMIN01用户仍然无法访问D:驱动器: 如果我以本地计算机pipe理员身份login到ME01 ,则根本无法访问D:驱动器。 我发现了这个问题,其中大致描述了同样的问题: 为什么我无法浏览我的D:驱动器,即使我在pipe理员组中? 答案正确地表明这是一个UAC特权提升问题,但我对这个陈述感到困惑,特别是大胆的部分: 您可以通过组策略修改此行为, 但请记住,默认设置是故意设置的 – 您要更改的特定策略是“用户帐户控制:在pipe理员批准模式下运行所有pipe理员” – 您可以find有关如何在这个MSDN文章中做这个。 这是否暗示“用户帐户控制:以pipe理员批准模式运行所有pipe理员”不应禁用? 如果启用了,我不会通过“继续”button+盾牌图标获得UAC挑战,我只是简单地拒绝访问驱动器。 这是正常的吗?
我们有一个服务帐户是域pipe理员组的成员。 这是让我特别不舒服的东西。 我期待尽快改变这一点,但是对于AD权限来说还是比较新的。 服务帐户主要用于LDAP查询,所以我已经分配了帐户域用户成员资格。 麻烦的是,它也需要代表用户重置密码的能力。 我正在寻找委托控制,但只能看到“重置用户密码和下次login强制更改”。 所需要的是复位发生,但力量变化不被设置。 我试图手动指定一个angular色,但是有点超出我的深度与不同的权限数量。 有没有人得到什么权限需要委派给其他用户的密码重置控制的任何指导?
我们正在考虑将照片放入Active Directory中。 我们有很多域控制器,有些是在带宽不是很多的地方。 什么是照片的推荐/最大文件大小,或者这是一个坏主意开始。 我们目前正在存储这些在SharePoint中,并希望打开同步服务到AD的个人资料照片。 我的另一个想法是告诉AD使用SharePoint的存储为照片,但不知道这是甚至可能的。 我怎样才能把工作人员的照片放在AD中,并尽可能减less复制/带宽问题?
我只需要将GPO应用于特定networking范围内的某些计算机。 我知道有这个问题的许多其他解决scheme。 我可以将他们分组到一个OU或使用网站。 但目前的情况不允许我采取任何行动,除了确定客户端的IP地址是否在特定的networking中。 因此,我认为我可以使用WMIfilter,并且问我的好朋友Google寻求帮助:我find了http://waynes-world-it.blogspot.ch/2008/03/wmi-filter-for-subnet-filtered-group .html但是 Select * FROM Win32_IP4RouteTable WHERE ((Mask='255.255.255.255' AND NextHop='127.0.0.1') AND (Destination Like '10.31.%')) 似乎没有工作。 由于该filter,该策略不适用于任何计算机。 任何人都可以给我提示如何解决? 非常感谢你
我想在Windows Server 2012上运行AD FS 2.0来发送objectGUID 。 我知道我可以为“依赖方信任”创build颁发转换规则,但AD FS 2.0如何知道objectGUID ? 我是否需要在AD FS \ Service \ Claim Descriptions下为objectGUID添加声明描述?