不幸的是,我inheritance了一个Active Directory域,其名称是公司不拥有的DNS名称,我们将其称为ABC.com。 我希望它是在company.com下的东西,而不是(根据MDMarra的广告命名的答案我可能会使用ad.company.com,因为你永远不想使用任何其他的DNS名称),但硬要求现在是能够将电子邮件移动到今年的Office 365,并使用目录同步。 为此,至less我需要一个匹配的UPN到我们的电子邮件域(company.com)。 好的, 添加第二个UPN的过程似乎很简单 。 testing和移动帐户,直到他们都在所需的UPN似乎是足够的。 这样做有什么缺点吗? 如果我们无限期地停留在ABC.com的这个“非所有”域名上,技术债务最终会到来吗? 作为参考,我们有一个单一的森林,包含2012R2级别的所有内容(森林,function级别,所有数据中心)和Exchange 2010的单个域。 AD中有大约150个用户和450台计算机(大量的开发/testing自动化)。 虽然我已经安全地将我们从2003年推进到2012R2,但我决不会称自己是AD的专家。 它看起来不像域名重命名一般build议,因为我们有Exchange 2010在我们的域名,我不相信它甚至是一个选项。 正如我所看到的,我可以: 添加第二个UPN并完成。 我可以处理不得不手动设置UPN的东西,因为我们创build/添加它们… 将第二个域添加到森林中,将所有内容都移走,永远保留这个永远不会删除的传统根域 创造第二个森林,森林森林的信任,尽我所能在这个新的森林上从头开始做所有的事情……移动一切,最终移除原始的森林。 真的很慢,真的很仔细,前后testing,可能花费很大(至less花费在时间上)。 在梦幻世界中,这似乎是最好的,但我不确定我是否可以为此辩解一个商业案例(除非有人指出死亡到来会发生)。 ??? 还有一些我没有想到的东西
该文档包含示例: New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true 该参数是必需的。 DNSHostName的目的究竟是什么,我应该如何决定将其设置为什么?
Active Directory域控制器的退役过程有两种stream派,它们被广泛用作DNS服务器。 将传出DC的IP地址添加到新的DC,并确保DNS正在侦听该地址。 降级旧DC,在其上留下DNSangular色,并将全局DNS转发器configuration到新服务器。 显然,两者都是阻塞,直到所有服务器和设备都被configuration为使用新服务器的主IP地址,但有时候,根据环境的大小,过渡期可能会相对较长。 这里有没有明确的最佳做法?
我期望通过GPO软件安装策略安装我们的最新AV套件。 (如下面的屏幕截图。) 不幸的是我的要求使用DFS已被拒绝,我需要为我们的环境中的每个站点(每个站点是它自己的子网)创build一个GPO。 我遇到的问题是,有很多用户在网站之间旅行,所以当他们移动到另一个网站时,他们会得到新的GPO,并且不在以前的GPO范围内。 我找不到有关GPO软件安装是否将在当前PC上已经存在的应用程序重新安装的具体文档。 当计算机超出范围时,我将使用该选项离开应用程序。 从我的研究中,我发现GPO只适用于GPO的版本发生了变化,这很好,但是实际的MSI呢? 我发现人们提出了两个scheme,但不能备份: GPO调用Windows Installer服务来检查已安装的程序列表,只有当前的MSI版本不存在时才会安装。 GPO安装会使用自己的软件列表保留自己的应用程序caching,如果应用程序不在该列表中,即使已经安装,也会安装该应用程序。 任何人都可以为我确认正确的信息吗? 编辑:谢谢你们的答复,我知道其他替代方式来部署软件,但是我后面是一个具体的答案是否GPO部署将重新安装包,如果它已经存在于工作站上。
我有一个Web应用程序(主机名:service.domain.com),我希望使用Kerberos身份validation来识别login到Windows域的用户。 Microsoft AD(Windows Server 2008 R2)提供了Kerberos服务。 该服务是使用Spring Security Kerberos扩展库来实现SPNEGO / Kerberos协议的Java Web应用程序。 我在AD中创build了一个包含共享密钥的密钥表文件,该密钥足以validation客户端浏览器使用Web应用程序发送的Kerberos票据。 我的问题是,服务主机(service.domain.com)需要有防火墙访问(TCP / UDP 88)到KDC(kdc.domain.com),或者是密钥表文件足以让服务主机能够解密Kerberos票据并提供身份validation?
我加了这个Q / A,因为我今天偶然发现了这个限制,我没有find任何有关它的文档。 有一个关于这个问题的旧的知识库文章,但它目前没有被Google索引(可能是因为它是在几年前发布,从未更新过),这个问题在其他地方从来没有提到过。 是否有可能在父域中创build一个与子域名同名的OU? 是否有可能在父域中创build一个与OU相同名称的子域?
我有一个约2500台电脑的OU。 我需要把580个移到另一个OU。 有没有办法做到这一点与batch file? 我有一个文本文件与计算机(而不是FQDN)。
是否有工具或脚本或其他方式知道特定用户当前login的计算机名称? 甚至是login到? 假设用户“HRDrone”正在他的主机名为“HRStation01”的机器上工作。 我坐在我的系统pipe理员桌面上,只知道用户名是“HRDrone”。 任何方式,我可以发现他没有询问用户login到“HRStation01”? AD事件查看器? 什么? 谢谢!
我想知道是否有办法更新Active Directory中的一大群用户的“公司”字段? 我想匹配所有的用户与一个特定的string结尾的公司。 单独为每个用户更改这个过程需要太长的时间。
我试图给Exchange 2010中的一个用户“发送”权限。下面是我正在运行的Powershell命令: Add-ADPermission "User1" -User "Ourdomain\User2" -Extendedrights "Send As" Powershell返回这个错误: Active Directory操作在DC.OurDomain.pri上失败。 这个错误是不可回溯的。 其他信息:访问被拒绝。 活动目录响应:00000005:SecErr:DSID-031521D0,问题4003(INSUFF_ACCESS_RIGHTS),数据0 + CategoryInfo:WriteError:(0:Int32)[Add-ADPermission],ADOperationException + FullyQualifiedErrorId:EDBB94A3,Microsoft.Exchange.Management.RecipientTasks。 AddADPermission 我已经尝试了多个Powershell命令的替代品 – 即。 使用-Identity等,但那和EMC向导都返回相同的错误。 我不确定是否“INSUFF_ACCESS_RIGHTS”是指我正在运行命令的用户还是指向正在发送的权限的用户? 我一直在关注Microsoft Technet “pipe理邮箱的发送权限”网页: http : //technet.microsoft.com/en-us/library/bb676368.aspx 所以已经添加了你需要这两个权限: 组织pipe理 收件人pipe理 但是这没有帮助。 有任何想法吗? 更新 如果我做到以下几点: 使用“高级function”视图打开“AD用户和计算机” 转到User1的属性 在安全选项卡上点击“高级” select“添加” input“用户2”并select“发送”允许 这是有效的,如果我closuresADUaC并再次打开并重新检查这些新的权限,他们仍然存在。 如果我大约10分钟后返回,那么这些权限现在已经消失 – user2完全不会显示在user1的安全权限中。 不要以为我以前见过这种AD行为。