Active Directory与DNS紧密耦合。 DNS将IP与主机名相关联。 如果IP一直在机器上变化,通过一个dynamic的IP,这将使一个机器join到一个域是一个非常糟糕的主意? DC也build议使用静态IP。 这是出于类似的原因(即如果IP总是在变化,那么很难将IPparsing为主机名)。 例如,在企业中,对于要join到域中的机器,我们总是被给予一个静态的IP地址块,所以我想我一定是在正确的轨道上? 谢谢
所以我从来没有遇到过这个。 我们的networking上有两个相关的用户,并且共用相同的姓氏和名字。 我们的用户名命名政策规定年轻的用户将有他的中间初始用于区分用户名,但我有一个更多的关于显示和存储属性的问题。 你如何处理诸如Jr.,III等后缀的存储? 你是否简单地将它们追加到姓氏中,或者是否存在用于处理这些信息的不同属性? 我只是不确定最佳做法或常见的约定。 谢谢
我有一个用户帐户不断被locking。 我试图找出是什么原因造成的。 所以我想在事件查看器中启用失败审计。 但是,我不知道如何! 如何启用审核失败,使其显示在Windows日志>安全性的DC事件查看器中? 到目前为止,我所做的步骤是: 在DC中,转到组策略pipe理编辑器>默认域策略(链接)>计算机configuration>策略> Windows设置>安全设置>本地策略>审核策略 将审核帐户login事件,目录服务访问,login事件设置为“失败”。 账户pipe理已经设置为“成功,失败”。 在DC中,启动命令提示符,键入gpupdate。 事件日志仍然只显示审计成功,即使可以检查我的用户帐户是每隔几分钟左右密码计数错误。
我们有几个服务器运行域控制器,“DC01”,“DC02”和“DC03”。 由于某些原因,我们需要重新启动它们。 是否有一个特定的程序要遵循? 其他信息:“DC01”当前拥有所有FSMOangular色。 在重新启动之前,我应该将angular色转移到另一个DC吗? 更多信息:DC01是Windows 2008 Enterprise。 DC02和DC03是Windows 2008 R2企业版。
我有一个内部DNS作为我的AD设置的一部分。 我有一个公共资源托pipe的DNS(通常在某个数据中心某处) 偶尔在我们的内部networking上,我需要去公共资源 – 例如www.ourcompany.com,因为在我们的内部DNS没有WWWlogging我不能得到名称解决。 如何configuration我的DNS将其不识别的名称转发给公共DNS。 更新:根据评论是的,我有一个“水平分割”DNS(这似乎是一个好主意)这个AD设置是不到24小时,可以重做,如果需要的话 – (虽然我会而不是)
根据我们IT部门的“最佳实践”,员工有两个账户。 非特权帐户和属于全局“域pipe理员”($ DOMAIN \ Domain Admins)组的成员帐户。 在我们的文件服务器上,Domain Admins组被添加到本地pipe理员($ SERVER \ Administrators)组中。 本地pipe理员组已完全控制这些目录上授予。 相当标准。 但是,如果我login到服务器与我的域pipe理员帐户,以进入该目录我需要批准一个UAC提示说:“您目前没有权限访问此文件夹。单击继续以永久访问这个文件夹“。 尽pipe$ SERVER \ Administrators(我是通过Domain Admins组的成员)已经拥有完全控制,但单击继续会为该文件夹和其他任何内容提供我的域pipe理员帐户权限。 有人可以解释这种行为,以及pipe理文件共享的NTFS权限的适当方式是关于Server 2008 R2和UAC的pipe理权限?
是否可以从join域的工作站定义AD DS域/森林function级别? 最好通过CLI / PS,如果可能的话没有域pipe理员权限…我怎么能做到这一点?
在我们的Windows环境中,我们的域pipe理员只有一个用户帐户。 这个单一的用户帐户被用于全天候的工作站上,包括运行。 在我们从这种做法转变的过程中,我们正在寻找关于如何设置Domain Admins的最佳实践。 明显的第一步是默认为低权限帐户并根据需要升级应用程序。 由于这是我们第一次采用这种设置,我们不知道我们应该寻找什么样的东西,以及我们应该做些什么样的改变。 而在更广泛的范围内,这对我们是否是SharePointpipe理员有什么影响? Office 365pipe理员? 等等.. 那里有什么资源,或者你能提供什么?
所以这里是场景 – 我们正在将IT集中到一个位置的数据中心。 我目前有12个不同的运营公司需要共享安全和交换function。 就目前而言,它们都是不同层次的单独的个别领域。 有一个公司广泛的会计系统,需要与目前在一个完全独立的领域运行的AD集成,以及我希望看到人们使用自己的AD日志信息使用。 这是我的问题 – 知道所有的Active Directory域需要被触及,而不pipe它们达到统一的function级别,并且无论做什么,都有重要的工作要做,哪个configuration最好? 我知道每个人都有几个要点,但是我想确保在selectpath之前,我已经覆盖了我的基地。 我去一个单一的森林\父域? 或者使用企业域和运营公司之间的信任来分离域,如辐条和集线器configuration? 各有什么优点和缺点? 谢谢- 额外的细节:有一些需要有行政pipe理委员会…它作为更多的特许经营环境比单一的公司。 将有行政人员只负责他们的公司,没有更多。 硬件和软件的开销是没有问题的,每个公司都使用不同的策略集,所以政策部分没有提供任何真正的优势或劣势。 如果运营公司遍布美国,这是否会改变你的build议呢?
我想创build一个dynamic组与来自我的Active Directory中的特定OU的用户。 我可以使用Exchange Dynamic Distribution List完美地完成这项工作,但是Ex DDL只适用于邮件。 有什么办法来创build这个? 我发现了一些使用System Center来处理这个问题的指南,但System Center不是一个选项。 提前致谢,