我是一名Unix家伙,他最近拿起了PowerShell,帮助我的Exchangepipe理员同事在Exchange 2010中实施了一个具有挑战性的项目。(如果不是不可能,我们提出的要求是具有挑战性的。 我会尽量保持这个简单。 这是我的第一个问题。 我们已经被要求必须限制某些DL,以便只有特定的内部AD用户才能发送到DL。 另外,这些DL必须在地址簿中保持可见。 将“HiddenFromAddressBookEnabled”属性设置为$ true是不可接受的。 领导层表示:“应该被允许看到谁在组中的人是可以发送给组的人,而且,只有那些能够在地址簿中看到DL条目的人才是人谁被允许发送到DL“。 我不认为这是可行的,因为: 通过调用地址簿中的(可见)条目,将其放在To:字段中,然后单击Outlook中的“+”以将其展开给单个人员,然后绕过组安全。 (我已经证实了这一点。) 我不相信只有某些用户才有select性地隐藏地址簿条目,而不是其他的。 所以这是我的问题: 我的理解似乎大部分是正确的? 如果没有,请随时提供更正 有没有什么办法只从一组特定的用户隐藏地址簿中的DL? 有没有办法阻止用户点击Outlook中的“+”号来避开限制谁可以发送到组的安全限制? 从技术上讲,你不再发送给一个组 – 只是在该组中的确切个人。 请 – 任何额外的启发或评论鼓励。 我认为我们必须回到业务上来,告诉他们他们的要求是不可实现的。 (我还有另外两个令人讨厌的要求,我将单独提出一些问题。) 感谢大家!
我们大多数人都知道我们需要创build子网对象并将它们关联到Active Directory中的站点对象。 这使站点A中的客户端对站点A中的域控制器进行身份validation,获得正确的DFS引用等。 如何在具有数千个子网的环境中pipe理这个问题? 从字面上看, 数千个不断发展的子网被添加和移走。 理想情况下,答案不应该是“雇用50名pipe理员”。
Windows Small Business Server 2003中的用户和活动目录用户有什么区别? 在哪种情况下我应该使用哪个pipe理用户帐户?
我在Active Directory和Google Apps中运行了一个拥有大约150个用户帐户的小型大学networking。 我正在寻找将AD与G-Apps链接。 目前,我的用户需要为每个用户保留单独的密码。 显然这不是理想的情况。 我知道Google提供这种types的API,但不是真正的软件。 我看了一些商业产品,似乎倾向于人群(atlassian.com)。 我也感兴趣的是用户能够重置自己的密码或通过TXT消息接收随机生成的密码。 单点login会很好,但是如果我只是想让密码同步的话,这并不是必须的。 最好的做法是,当我在AD中创build用户时,它将自动显示在Google Apps中,并且当用户通过Windows(或必要时的网页)更改密码时,这些更改将反映在AD和G-Apps中。 我也使用Moodle,Joomla和其他一些能够对LDAP进行身份validation的产品。 我有Win2k3数据中心,和一个Ubuntunetworking服务器。 如有必要,我可以添加一个服务器。 有没有其他人做过这个,或类似的东西? 有什么其他产品或技术我应该看看。 由于缺乏Linux / CLI的经验,我倾向于使用基于GUI的Windows。 我不是一个程序员,所以我需要一些可以开箱即用(或者尽可能接近)的东西。
我正在更换一台服务器,并想知道新服务器是否有两个名称。 例如: 我们现在拥有什么: Old server: srv New server: srv-new 在我们切换到新服务器后,我想要的是: Old server: srv-old New server: srv-new, srv 最终我想分阶段使用新名称('srv-new')并放弃旧名称('srv'),但是我希望两个名称都能工作一段时间。 我只是在某个地方的活动目录中执行此操作吗? 我们正在使用Active Directory。 srv-old是Windows 2000,srv-new是Windows Server 2008.请原谅我可能滥用术语 – 我在我的舒适区边缘!
我将如何build立一个AD的LDAP查询,返回一个特定安全组中的帐户没有被禁用的所有用户? 我试过了 (&(objectClass = person)(!(userAccountControl = ACCOUNTDISABLE ))) 但似乎并不奏效。 我正在尝试设置Google Apps Directory Sync,并希望它能够同步所有属于“Google Apps用户”安全组的帐户未被禁用的用户(或者,如果在AD中被禁用,则只需挂起GA中的帐户)。
机器被添加到安全组,以防止他们获得GPO。 我希望机器在组内30天后被移除。 理想情况下,我也希望能够生成组中机器的报告。 就像是: MachineA – 还剩10天 MachineB – 29天了
我正在为大学的部门设置一个新的Active Directory实例。 在以前的工作(NT4 / 2k / 2003)中,我有一些pipe理域的经验,但是我们的环境有两个独特的地方:networking是100%的公有IP地址空间 (实际上没有防火墙,所有DNS都是公有DNS)和DNS是集中pipe理 (UNIX上的BIND,他们不会委托我一个子域,也不允许dynamicDNS更新到他们的服务器。) 由于没有私人或拆分的DNS是可能的,我的域(ad.dept.univ.edu)的SRVlogging将可以通过公共DNS访问。 虽然DNS是公开的,但是我将防火墙只允许校园内的机器连接到我的域控制器。 我将有两个运行Windows Server 2008 R2的AD控制器。 这基本上是一个仅用于身份validation的域,我们不运行Windows文件服务器,大多数客户端计算机永远不会join域或直接对域控制器进行身份validation。 这个域将主要为设备和应用程序提供集中的AD集成authentication。 没有启用MS DNS,设置AD控制器的过程是什么? 我应该添加哪些DNSlogging(SRV或其他)? 它们应该在使服务器成为域控制器之前还是之后才被添加? 有什么东西在这样的环境下运行不好吗? 我知道添加/删除DC需要手动编辑DNS,但是这样吗? 如果您认为Samba4 + OpenLDAP可以完成这个任务,我绝对有兴趣,但是请自问一个新的wiki问题,而不是在这里回答。
我们有一个虚拟化的域控制器, 这导致了我们现在看到的复制问题。 我已经把PDC模拟器和其他fsmoangular色移到了一个新的DC上,我们正在研究虚拟DC的退役。 同时,我正试图解决组策略处理的问题。 某些工作站在尝试处理策略时,正在parsing虚拟化/故障DC的IP地址的“domain.local”。 当他们尝试从此DC下载GPO时,由于复制问题,这些GPO不可用。 我想要做的就是安全地从服务这个域(\ domain.local \ sysvol)的DFS服务器列表中删除这个DC。 有没有一个安全的方法来做到这一点? 这只能是暂时的创可贴,直到我们能够解除发生故障的DC。 我也接受其他build议。
我有这个cmdlet,我想只限于一个OU的结果: Get-ADUser -Filter {(Enabled -eq $false)} | ? { ($_.distinguishedname -notlike '*Disabled Users*') } 现在我试图使用 -searchbase "ou=FirstOU,dc=domain,dc=com" 但是,如果我使用-SearchBase我得到这个错误: Where-Object : A parameter cannot be found that matches parameter name 'searchb ase'. At line:1 char:114 + Get-ADUser -Filter {(Enabled -eq $false)} | ? { ($_.distinguishedname -notli ke '*Disabled Users*') } -searchbase <<<< "ou=FirstOU,dc=domain,dc=com" + CategoryInfo : […]