我对networking服务帐户(组?)在networking共享上工作感到困惑: 一方面,networking服务通常被描述为一个给定机器的本地帐户。 (例如,请参阅这里的serverfault或在IIS 6.0文档中的Microsoft Access Control )。所以这不是一个域范围的帐户。 并且,例如,如果在SERVERA上的NETWORK SERVICE下运行的进程尝试请求SERVERB上的资源,则authentication不会在某些假设的MYDOMAIN \ NETWORK SERVICE下,而是在MYDOMAIN \ SERVERA $下。 (后者被称为SERVERA的“计算机帐户”)。 另一方面,我注意到我可以去远程文件共享,我有pipe理员权限,并设置networking服务的特定目录的权限。 (例如,我可以在Windows资源pipe理器中进入\\ MYSHARE,右键单击其中一个目录,进入安全>编辑>添加,在“input对象名称select”框中input“NETWORK SERVICE”,然后单击确定。我在“组或用户名”列表中有一个新的NETWORK SERVICE条目,我可以更改它的权限,就像我可能更改“Users”组的权限一样。) 如果networking服务是严格的机器逐个帐户,我不明白什么是当我在远程共享上创build一组networking服务的权限应该发生。 那个条目是指在一台特定的(未指定的)机器上的networking服务? 通过图标判断,权限在技术上适用于NETWORK SERVICE 组 ,而不是NETWORK SERVICE 用户 。 但我似乎无法findNETWORK SERVICE 组的任何文档,或者与常规的域组相比,它如何工作。 我唯一的猜测是,如果你授予对NETWORK SERVICE 组的访问权限(假设有这样的事情),这就等于允许访问整个域中的所有 “计算机帐户”。 (也就是说,在中央文件服务器上授予NETWORK SERVICE的权限与授予MYDOMAIN \ SERVERA $,MYDOMAIN \ SERVERB $,MYDOMAIN \ SERVERC $,…,MYDOMAIN \ MYLASTSERVER $的权限相同。
我正在尝试configurationSQL Server的全新安装以在域帐户下运行。 但是,在尝试使用另一个域帐户连接到服务器时出现间歇性错误,而且我仍然看到The SQL Server Network Interface library could not register the Service Principal Name在拖曳ERRORLOG文件时The SQL Server Network Interface library could not register the Service Principal Name 。 我已经将我的服务帐户(不是托pipe服务帐户,只是普通用户帐户)添加到AD组(例如SQL Servers ),并且已经将ACE添加到我的域“ Computers容器的ACL中,对于此组,select: 适用于:后代计算机对象 validation写入服务主体名称:允许 读取servicePrincipalName:允许 写入servicePrincipalName:允许 我已将此复制到所有域控制器,并使用有效权限选项卡和dsacls CN=SERVER01,CN=Computers,DC=fabrikam,DC=local ,后者确认新的ACE到特定的计算机对象的inheritance其中包括: Allow FABRIKAM\SQL Servers SPECIAL ACCESS for Validated write to service principal name <Inherited from parent> WRITE […]
我可以成功使用Powershell来判断用户是否在Active Directory中进行身份validation: Function Test-ADAuthentication { param($username,$password) (new-object directoryservices.directoryentry "",$username,$password).psbase.name -ne $null } Test-ADAuthentication "test" "Password1" 但是,我不能为了我的生活弄清楚如何: 检查密码是否需要重置,而 validation发送的凭证在他们的最后一个密码上工作。 怎么能这样呢?
什么是“需要考虑的事情”以及将大量用户从使用本地configuration文件迁移到漫游用户的最佳实践?
我有一个打字错误的用户。 为了解释起见,我会说用户名是lusername,名字是Lindsay。 活动目录有用户最初名为林赛用户名,我需要它是林赛用户名。 正如你可以说这不影响lusername的实际login名。 如果我进入Active Directory用户和计算机并searchlus,则会出现她的名字。 我打开属性,我可以更改名字和显示名称字段,但我不能更改“常规”选项卡顶部的初始名称。 有没有办法“解决”这个,而不诉诸重新创build用户?
我们希望将我们的networking打印机(Dell 5100cn)添加到Active Directory中,以便用户在networking上查找它们更加容易,但是并不需要在客户端和打印机之间放置“打印服务器”因为后者拥有自己的IP地址和内置的排队来自多个客户端的打印作业的能力。 然而,所有关于将打印机添加到Active Directory中的文档似乎都是以打印机已被添加到“共享”Windows计算机的假设开始的。 是否可以直接将这种networking打印机添加到AD中? 我认为networking打印机是一个专门的主机,应该能够在目录中有一个独立的条目。 这是错误的概念?
我准备为我的组织部署Office365。 我们有一个内部的Active Directory域控制器(Windows Server 2012 R2)。 我们希望利用我们的Active Directory:Office365中的自动用户configuration和密码同步,使用DirSync工具。 我们的Active Directory域是example.pvt 。 电子邮件目前是Rackspace Exchange和电子邮件地址,格式为[email protected] 。 Active Directory User Logon Name的格式为firstinitiallastname. 我的问题是: 在Office365中configuration电子邮件地址可以使用哪些Active Directory属性? 是否可以使用Active Directory中E-mail字段来configurationOffice 365中的电子邮件地址? 我们的Active Directory域具有不同的扩展名(.pvt vs. .com)会导致我们计划的configuration方法出现问题吗?
我被要求生成一个安全组列表(特别是不是通讯组),列出大约50个用户所属的列表。 我有一个用户列表, users.txt包含在一个新行上的每个用户名。 我想要生成membership.txt ,其中包含用户名和用户所属的安全组列表,用逗号分隔。 到目前为止我写的Powershell脚本如下: $users = Get-Content C:\users.txt ForEach ($User in $users) { $getmembership = Get-ADUser $User -Properties MemberOf | Select -ExpandProperty memberof $User + ',' + $getmembership | Out-File -Append c:\membership.txt } 这几乎可以工作,但有两个问题: 它正在生成所有组的列表,而不仅仅是安全组。 我怎么能告诉它只包含安全组而不包含分发组? 这些团体正在以OU=Security Groups,OU=City,DC=domain,DC=com CN=Senior Leaders的forms被追加,但是我唯一需要的信息是Senior Leaders 。 我怎样才能删除所有的额外信息?
Windows 10,服务器2012 R2域 我对离线恢复BitLockerencryption驱动器的选项感到困惑。 比方说,我正在使用TPM(不在USB /软盘驱动器上存储密钥)将BitLockerencryption到域计算机的硬盘驱动器上,并将密钥备份到AD,并且可以使用这些密钥。 我可以从这些TPM BitLockerencryption的计算机中的一个上取出一个硬盘,然后将它连接到另一台计算机作为外部驱动器(使用USB至SATA电缆或其他),然后从AD中为该驱动器恢复bitlocker密钥,并用它来解密读取数据?
现在,我们所有的networking打印机都通过一台Windows服务器进行连接。 打印机然后通过组策略部署到桌面。 但是,如果这台服务器出现故障,联网的打印机将全部“噗”地打印出来,任何人都无法打印。 很显然,某种基于AD的复制将会非常棒 – 拥有一个“热备份”是可以的,但是没有简单的方法来redirect打印作业:除非我们在客户端添加了两台打印机,但是这样做很烦人。我应该使用打印机,“Server1上的主打印机”还是“Server2上的主打印机”? 出于这个原因,我想避免最终用户的解决方法,并希望在上游的某个地方处理它。 思考?