我在一个使用单个文件和打印服务器的Active Directory域进行用户pipe理的小型组织中工作。 导入新人的办公室pipe理员是非技术人员,通常会创buildAD用户帐户,因为现场没有永久的IT支持,用户需要立即进行帐户pipe理。 但是之后需要做的后续工作(创build对PBX的扩展,build立语音信箱,表格填写等等),需要对不同的人进行养殖。 我们手工操作的过程大部分都是有效的,但是有一些差距,有时甚至会被遗忘。 我不能重新devise这些业务stream程,所以就这个问题而言,我们可以认为业务stream程是不可改变的 。 我的解决scheme需要与现有stream程进行网格划分。 本质上,我认为我需要的是一种在Active Directory中手动创build新用户时生成电子邮件通知的方式 – 一种轻量级的工作stream引擎,只需通过电子邮件将人员和/或我的售票系统发送给需要执行的后续任务即可。 是的,我知道这不是最好的做法,是的,我知道这不是很酷,但考虑到我的情况,我认为这是最实用的解决scheme。 有一个简单的,轻量级的方式来做到这一点? 我正在考虑PowerShell脚本或类似的东西(没有适当的IDM系统的预算,正如我所提到的,业务stream程是不可变的)。
我有以下情况: 住在我们公司内部网的一个Web服务器有一个专用的地址。 某些许可限制阻止我们更改私人地址。 端口443通过我们的网关公共地址上的端口转发而公开。 到现在为止还挺好。 在外部,我们使用一台带有Bind9的托pipeLinux服务器作为mycorp.com域的权威名称服务器。 该服务器将我们的Web服务器FQDNparsing为外部公用地址,因此: superwebsite.mycorp.com – > 209.85.148.103(道歉谷歌) 在内部,我们使用Windows 2003 Active Directory服务器作为DNS服务器。 该服务器对我们的Intranet域具有权威性,并将我们服务器的内部FQDNparsing为私有地址,因此: superwebsite.mycorp.localdomain – > 192.168.1.25 我们最近为superwebsite.mycorp.com购买了商业SSL证书,所以我们需要我们的内部AD服务器将公共FQDNparsing为私有地址,所以: superwebsite.mycorp.com – > 192.168.1.25 我们也想从这个服务器上提供Subversion版本库,所以外部URL和内部版本一样是很重要的,否则开发者会遇到工作空间的麻烦。 我如何告诉Active Directory将这个特定的FQDNparsing到私有地址? 很明显,我不能在Intranet内部创build区域superwebsite.mycorp.com:这将导致AD DNS服务器认为自己具有权威性,并且忽略了内部网之外的真正的权威服务器。
作为IT支持,我的团队需要花费很多时间重新设置密码。 所以,我们认为在Active Directory中启用某种密码挑战会很有趣,因此用户在正确回答一些问题之后可以重置自己的密码。 尽pipe我们在密码过期时会通过邮件提醒用户,但是他们只是删除邮件并继续,所以我们认为这应该是一个好主意。 我见过一些商业产品,但我不确定是否有内置的或GPL来启用这种function。 有人可以解释一下吗?
我正面临着一个难题: 我公司有多个分支机构,每个分支机构的子网已经在各自的站点上定义,每个分支机构都有自己的RODC。 但是,当ping域名(比如说“ example.com ”)时,不是parsing到站点的RODC,而是parsing为总部的一个主要的DC。 AFAIK,当一个网站上的计算机试图parsing域名本身(例如,当试图访问\\example.com\netlogon )时,它应该parsing到该网站的域控制器。 那么,为什么我在这里看到这种行为呢? 附加信息: 总部的主要区域是2008和2008 R2的混合区域 分支上的RODC是2008 R2 任何build议都会有帮助。 TIA。 更多信息: 问题是总部和分支机构之间的WAN链路非常慢(我国的带宽成本很高)。 我们通过\\example.com\netlogon复制了几个大文件,并且由于一些分支机器将example.comparsing为总部DC的IP地址,他们通过慢速WAN链接而不是访问这些文件在分支RODC的复制品。
我正在运行一台运行Windows Server 2008 R2的新打印服务器。 共享打印机将在Active Directory中列出。 打印服务器有一个名字的主机logging,但我希望用户使用不同的名称进行连接,通过dns服务器上的cnamelogging进行设置。 问题是这些共享打印机使用主机Alogging在Active Directory中列出。 我可以select通过\\cname\printername共享添加打印机,但是如果我在Active Directory中find打印机,它将通过\\hostname\printername连接到用户计算机上的打印机,而这种差异对于terminal用户。 我希望使用cnamelogging列出打印机,这样当用户连接到打印机时,他们所看到的就是cname。 这可能吗?
我正在执行一个由两个运行Windows Server 2012的域控制器组成的Active Directory域的重命名,并且一切都很顺利……但是,我很快就运行了rendom / clean实用程序。 如果在域中的所有计算机重新启动两次之前执行rendom / clean,它们将不能再访问域… / clean从Active Directory中删除别名/迁移信息。 不幸的是,我跑了/干净没有意识到它会有灾难性的影响 – 使所有没有重新启动的机器,不能再访问域。 有没有办法解开/ clean? 在进行重命名操作之前,我对DC进行了裸机备份,所以我正在恢复这些备份 – 但是我想知道是否有办法将别名信息重新添加到Active Directory中。
我们使用System Center 2012虚拟机pipe理器将虚拟机部署到我们的Hyper-V服务器。 我们开始使用虚拟机和服务模板来自动化我们的系统部署,但是我们需要自动化的一步就是将服务器添加到特定组织单元下的Active Directory域中。 我可以创build一个使用运行方式帐户的客户机操作系统configuration文件将服务器连接到域,但是没有指定OU的选项: 如何指定要在join域时使用的OU?
我想testing密码重置产品,但需要过期的密码才能这样做。 如何手动设置密码的到期date,而不点击“必须更改密码”? (因为这在技术上是不同的工作stream程)
在AD环境下工作摆脱NTLM V1login全部; 发现很多事件,其中几乎所有来自用户“匿名login”(4624事件)的其他1(4624事件)百分比都来自某些用户。 所以,在这里我有一些问题。 禁用“匿名login”(通过GPO安全设置)还是阻止“NTLM V1”连接更好? 双方或双方面临的风险是什么? 这些login事件大多来自其他Microsoft成员服务器。 匿名login100%的时间使用“NTLM V1”吗? 即如果我看到一个匿名login,我可以假设它肯定使用NTLM V1? 匿名login事件540和4624之间的区别是什么? – >注意:function级别是2008 R2 请让我知道是否需要任何额外的信息。
我目前正在pipe理分布在2个不同AD域的计算机。 我将打电话给MEDIA和DATA两个域。 我的工作站是MEDIA(192.168.10 / 24)域的成员,还有我的大部分同事。 DATA 10.0.62.0/24)域位于远程数据中心。 我在这两个目录中有一个有效的pipe理员帐户。 有一个VPN可以让我免费访问远程域。 我正在使用Windowspipe理控制台(MMC)来pipe理本地域(MEDIA – 192.168.10.0/24)中的计算机。 我的问题是这样的: 如何从我的工作站(在MEDIA域)使用MMC来pipe理DATA域中的计算机?