我确实有一个域,在所有用户和计算机对象上已经更改了默认的ACL,并且启用了列表对象模式 (基于目录对象的基于访问的枚举)。 最值得注意的是,大多数目录对象的“Everyone:读取”权限已从列表中删除,因此用户无法读取“外部”对象以符合隐私保护策略。 在这个星座中,应用程序的客户端(基于UniPaas框架,如果这很重要)试图读取特定用户的组成员身份,并且由于未知原因而失败。 从软件制造商,我们得到了一个简单的testing案例,其中net user %USERNAME% /domain失败,出现错误5 – 访问在此基础架构中被拒绝。 networking协议的net use正在使用,它的失败方式与我们所看到的应用程序的networking痕迹相对应。 我现在有点不知所谓的内部net user调用(特别是它用来读取属性的API以及用户必须获得的权限)。 我如何开始debugging呢? 编辑:我想出了一件事是运行Wiresharkloggingnetworkingnet user %username% /domain调用引起的networkingstream量。 一切都看起来不错,直到为BUILTIN域(S-1-5-32)发出一个SAMR OpenDomain调用,返回STATUS_ACCESS_DENIED,之后所有连接都被拆除。 请参阅此pcap跟踪中的数据包33和34 。 这似乎是拒绝来自net user响应的原因,虽然我不知道这里出了什么问题。
我刚刚安装了一个新的Windows 2012 R2域控制器。 我正在查看DNS服务器,并且有两个DNS转发器设置,这是其他域控制器。 “转发器是DNS服务器,该服务器可以使用该服务器来parsing此服务器无法parsing的logging的DNS查询” 我很好奇,它是如何填充其他服务器名称? 这个默认设置是否在Active Directory中? 编辑:我指的地方的屏幕截图
将最新的一组ADMX模板复制到我的AD Central存储(覆盖旧的)是否有任何危险? 我已经升级了架构并复制了一个ADMX文件,以添加新的Windows Update“始终在预定时间自动重新启动”策略,但是我希望所有ADMX文件都是最新的。
我在这里要诚实 – 这个问题已经从考试范例中直接剥离了,但是我很好奇看到如何在现实世界中configuration这样的布局(我并不完全确定这些规则到这样的问题?) 每个办公室都包含相同数量的工作人员。 根据这个问题,没有定义“总部”每个说。 答案的选项如下: 1. Three Site and Three Site Links 2. Five sites and one site link 3. Five sites and five site links 4. Five sites and three site links 我可以看到有两个选项的推理: 1)。 五个网站和五个网站链接 – 即Hub和Spoke也许亚特兰大。 2)。 五个站点和Thee站点链接 – 即通过5Mbps WAN链接连接的所有站点的一个站点链接,以及链接较慢的其他站点的单个链接。
在DMZ中pipe理Windows服务器的用户帐户的最佳方法是什么? 我们正在扩大我们的网站,并增加几个IIS服务器到我们的DMZ。 我宁愿不pipe理一堆本地帐户,或者另一方面,我们的内部Active Directory服务器直接暴露给DMZ。 有没有一个标准的方法来解决这个问题?
我目前是一家公司的pipe理员,是一个Windows域的一部分,两个主域控制器通过一个VPN连接到不同的位置。每个位置至less有一个备份域控制器,我们有不到100个用户。 这些服务器大多是Windows 2003.我还在两个位置都有Exchange 2003服务器以实现冗余,并为两个位置的用户提供服务。 当我对活动目录中的用户进行更改时,可以更改名称,也可以添加或删除用户。 这需要我们的全球通讯录几个小时,有时甚至一天更新大家的前景。 为什么是这样,我怎么会加快呢? 也请原谅这不是直接关系到编程,我希望它不是那里,因为我们有些人必须戴许多帽子。
在AD中查看一个组的成员时,有正常成员(单头图标)组(两个头图标),然后是匿名login/authentication用户和每个人,共享一个带红色向上箭头的单头图标。 这个图标是什么意思? 有问题的图标是用户图标,但它有一个红色的向上箭头出来的用户。 它是dsuiext.dll里面的图标号码34: XP / 2003 Vista / 7的 谢谢你的帮助
我是域pipe理员。 有没有办法,我可以login到工作站,作为用户,而不知道他们的密码? 我知道我可以从Active Directory重置用户密码。 但是说我这样做了,我暂时将其重置为我知道的东西后,如何将旧密码恢复? 编辑: 认为我们可以通过组策略configuration所有的东西是一个很好的想法,并且用户甚至足够聪明来完成基本的初次使用向导。但这是一个现实问题,而不是理论问题。 我同意你的意见,但是当我被要求在用户桌面上configurationOutlook时,我会毫无争议地遵守他们的要求。 当然,这是从道德上获得访问权,而最终用户正在打电话给我。
我一直在组织里试验IPv6。 域控制器(所有2003 R2)和大多数服务器(2003 R2 / 2008/2008 R2)都configuration了IPv6。 我们有一个通过隧道提供商分配的子网。 目前,运行IPv6的唯一工作站是我的。 (Windows 7)我一直注意到我的工作站正在其他站点上selectDFS等域控制器,而我终于意识到我没有在Active Directory站点和服务(ADSS)中设置的IPv6子网。 但是当我尝试在ADSS中添加IPv6前缀时,它告诉我: Windows cannot create the object 2001:xxxx:xxxx:xxxx::/64 because: The object name has bad syntax. 我相信我可能会使用2008版本的pipe理工具(ADSS报告版本6.1.7601.17514),所以我想知道是否我的2003 R2 Active Directory架构不支持在ADSS中configurationIPv6子网。 这是真的? UPDATE 即使在Active Directory中使用2008 R2模式,我也遇到同样的问题。 我如何将我的IPv6子网放入站点和服务?
我有一个森林,让我们叫它contoso.com。 我也有3个子域名,a.contoso.com,b.contoso.com和c.contoso.com。 原始森林contoso.com是在2003年之前创build的,可能在某个时候已经是Windows NT域名了,但是我还没有到这里。 无论如何,因为它是在服务器2003之前创build的,所以我没有DNS中的_msdcs.contoso.com区域。 在我曾经工作过的其他森林是用server 2003创build的,_msdcs有一个单独的区域。 我遵循知识库文章817470为contoso.com手动创build_msdcs区域,一旦我做了一个repadmin / syncall,它被填充。 如果你在案例2(我相信描述我)看这个知识库步骤4是“删除旧的_msdcs子域”。 这是否意味着我应该删除目前在caontoso.com下的文件夹_msdcs,我有一个名为_msdcs.contoso.com的区域? 此外,我使用Server 2008创build的3个子域也没有_msdcs区域。 我是否应该为每个子域重复这个过程?