我正在考虑安装新的AD集成企业证书颁发机构结构,但发现有人已经创build了一个CA(主要用于内部网站上的SSL)。 我想根据最佳实践来构build新的结构,创build一个脱机根目录,授权几个从属CA进行容错等,但我不想搞乱已经存在的东西。 显然你不能把一个现有的根CA变成一个下属,所以这是排除的。 我可以简单地在别处安装新的根,而不是触摸现有的? (或者用新的根权限交叉签名现有的CA?)
我在networking上有50多台Mac电脑,我认为是时候把一些控制措施到位了,所以我正在探索将Mac OS X客户端集成到Active Directory的方法。 主要目标是强制执行从AD到Mac OS X客户端的GPO。 我正在考虑以下解决scheme: 使用带有AD的Mac OS X Server的目录服务 使用第三方解决scheme,如Centrify的DirectControl或Thursby的ADmitMac 你认为哪种解决scheme是最好的方法?
具有委派pipe理的组可以驻留在组织单位中,这样组可以pipe理它自己的成员资格吗?
我的Active Directory域中有一个特定的组织单元,需要设置弱密码。 我设置了我的GPO,并为OU OU=Limited Users,OU=Production,OU=VetWeb,DC=vw,DC=local名为“限制生产用户的GPO”创build了新策略。 根据组策略build模,我确实设置了一切。 但是,当我尝试创build一个新的用户或更改现有的用户密码不符合复杂性要求的密码时,我收到一条错误消息。 例如为用户CN=Test,OU=Limited Users,OU=Production,OU=VetWeb,DC=vw,DC=local到12345的密码重新设置密码给我提供新密码不符合密码的错误复杂性要求。 执行gpupdate /force不能解决问题。 OU=Limited Users,OU=Production,OU=VetWeb,DC=vw,DC=local不需要复杂的密码的用户必须做什么?
我们有我们网站的内部testing版本,可以通过www.mysite.com.test(通过内部DNS区域)获得 我想为www.mysite.com.test创build一个SSL证书,以便我们的testing人员不会收到无效的证书警告(“真实”证书绑定到www.mysite.com) 我知道如何使用OpenSSL创build自签名证书,但是我想知道是否有某种方式将证书颁发机构与我们的Active Directory域相关联,这样,属于域成员的PC上的任何用户都将接受自签名证书,而不必显式安装它(或将自签名证书颁发机构明确安装为受信任的颁发机构) 有任何想法吗?
我正在尝试了解更新非常大的AD林的架构的风险,在此架构还没有在每个DC上,然后使用该架构对象的对象被复制 一个示例是Lync安装程序,它需要模式更改,以及使用上述对象的后续林准备。 是否有可能,以及如果森林预备数据在模式之前首先到达过期的DC,会发生什么情况? 这是一个永久的错误,还是有这些types的更新重试/队列?
我是一个交易的Linuxpipe理员,我的新工作让我pipe理Windows服务器。 我正在尝试使用打包器创buildWindows Server 2012基础映像。 作为configuration的一部分,虚拟机需要通过脚本连接到活动目录。 显然我不想把我的个人密码写入脚本。 是否有可能在Active Directory中创build一个有权将计算机绑定到AD的用户,但不能执行任何其他操作(为了遵从)?
工作站:Windows 7(x64)[安装打印机目标] 服务器:Windows Server 2012 R2(x64)[Active Directory,打印服务器] 我一直在试图让这台打印机通过组策略安装在桌面上我的头! 出于某种原因,我根本无法使用GPO部署此打印机。 我已经尝试通过Computer Configuration->Policies->Windows Settings->Deployed Printers ,以及Computer Configuration->Preferences->Control Panel Settings->Printers和User Configuration->Preferences->Control Panel Settings->Printers 。 我也尝试通过我的打印服务器pipe理控制台通过用户和/或计算机定位来添加它。 我尝试了各种方法,没有任何工作。 我跟着一堆教程,并观看了一堆video,以确保我没有错过任何东西,但这确实是一个简单的任务(理论上)…这是行不通的。 在试图debugging的问题,我发现,如果我去\\myserver\并双击打印机,它会尝试安装打印机,然后提示我安装与UACtypes提示的驱动程序。 我已经尝试了所有我能想到的方法来让消息框停止popup。 我深入研究,发现如果我要编辑名为“ Point and Print Restrictions的GPO(位于Computer Configuration->Policies->Administrative Templates->Printers并且与User Configuration->Policies->Administrative Templates->Control Panel->Printers可以尝试将策略设置为“ Disabled或“已Enabled并为策略设置底部列出的两个安全提示selectDo not show warning or elevation prompt 。 那么这也是一个破产 我发现如果我试图通过unc手动安装打印机,并input我的pipe理员凭据,它将从服务器下载驱动程序并安装打印机(如预期的那样)。 如果用户尝试删除打印机,并且一旦他们注销并返回到GPO,就会按照我的要求进行操作,并将打印机重新添加回来。 但它需要我在每台PC上首次手动添加它。 经过testing,然后从GPO中取出打印机,然后再次注销。 我可以运行printui /s /t2命令来启动一个graphics用户界面(GUI),使我可以轻松地删除安装的驱动程序,使PC恢复到初始状态(请求pipe理员凭据)。 另外我学到的东西是打印机存储在位于HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Connections的registry中。 当我试图删除打印机,它告诉我我不能,我只是去了该registry项,并删除了我试图删除的打印机的GUID键。 […]
我必须授予某些用户在Windows Server 2003 Active Directory中的某些权限,这些用户只能在特定用户集合上处于活动状态。 最初的想法是只有一个OU,我们将允许这个特定的用户有一定的权利(用户创build,密码重置,将用户添加到组等)。 但是,在进一步阅读之后,我不确定是否需要一个OU,而且我不确定什么时候需要OU。 这是在烦我,我真的想更好地理解OU使用或不使用它们的目的。 我已经在网上search了一下,结果有点不同,从模糊的“使用组织单元组织AD”到具体的 “如果一个完全独立的组需要对一部分用户进行特殊pipe理访问,将OU添加到域”。 在这一点上,后者听起来是最合适的。 从技术上讲,您只能在OU上使用“委派控制向导”。 但是,我没有看到任何阻止我单独手动分配权限到一个域组,并有效地具有相同的事情。 我在这里错过了什么? 谢谢。
嗨想知道这两者之间的差异,当我们设置对象(文件夹)的权限。