我已经读过,在域中使用.local并不好,特别是在Microsoft Windows服务器上。 我还阅读了有关ServerFault的Windows Active Directory命名最佳实践文章,这篇文章很有帮助,但并没有完全回答我关于“本地”的问题,我认为这是一个保留的关键字,会出现问题。 我拥有域keiboom.com ,并将我的Active Directory域设置为local.keiboom.com 。 这会造成问题吗?
我正在使用Windows Server 2008.我有一个域控制器(这是一个开发环境)。 我编辑了AD模式,并创build了一个名为TestAttribute2(LDAP名称为testAttribute2)的自定义属性,其数值string为单值,没有最小值或最大值。 属性的OID是1.3.6.1.4.1.39668.21769.1.1.1。 我还创build了另一个testing属性,其中包括Microsoft发布的OID为1.2.840.113556.1.8000.2554.37861.10620.51629.17372.38569.15288078.14709744.1.2。 该属性是非索引的,活动的,不复制到GC,复制时不复制,不为集装箱search编制索引。 然后我将这个属性添加到person类。 每当我尝试使用AD用户和计算机MMC的属性编辑器function设置这些自定义属性,或ADSI编辑,MMC崩溃,并且属性保持未设置。 但是,可以设置其他具有类似OID但具有其他语法(CIstring和Unicodestring)的自定义属性,而不会崩溃。 我究竟做错了什么?
我正在search有关如何将U2F(使用YubiKey或类似设备)集成到Active Directory Windows域(将成为Windows 2016服务器)的信息。 特别是我有兴趣确保Windowslogin到工作站/服务器需要一个U2F令牌作为第二个因素(密码只应该不起作用)。 简而言之,目标是通过密码+ U2F令牌或者使用Kerberos令牌来完成每个authentication。 任何提示可以find关于这个特定场景或经验教训的进一步信息。
我见过很多关于如何通过运行重置用户密码的文档 net user <username> * /domain 或本地 net user <username> <new_password> 但是我不是域pipe理员的当前域,所以我不能通过net user <my_username> * /domain (访问被拒绝)更改密码。 我可以做的是按CTRL + ALT + DEL ,然后点击“更改密码”,在那里我需要重新input当前的密码并给出一个新的密码: 问题:我如何编写脚本? 我想通过命令行更改我的密码。 可能? 奖励信息:我在Windows XP SP3机器上。 注意 :公司的政策是让用户每两周更换一次密码。 你不能使用你的最后24密码…因为我不想永远记住一个新的密码,我只是手动迭代“密码1”…“密码24”,最后我回到我的旧密码。 用小批量而不是手动方式来做这件事是很好的。
我有两个AD组被错误创build,而应该只有一个组, 他们包含完全相同的用户。 但是,这些组已经被赋予了variuos资源(如文件共享)的各种权限,我无法跟踪所有这些资源,并重置它们只能引用一个组。 如果我删除其中的一个,并将其SID放在另一个的SID历史logging中,我可以“合并”这两个组吗? 这是否允许其余组的成员访问那些已被授予权限的资源? 更新: 看起来没有简单的方法来将SID添加到用户或组的SID历史logging; 至less,ADUC和ADSIEdit都无法做到这一点。 如果上述的技巧是有效的,那么如何实现呢?
如果您在Active目录中将“用户”对象设置为“pipe理者”,则会在用户与其经理之间创build明确的关系。 这是在Exchange的全局地址列表中报告的。 对于Group对象,pipe理员可以通过Outlook中的地址列表编辑该组的成员(如果启用的话)。 Active Directory中的计算机对象存在相同的“pipe理器”字段。 这与任何地方的任何function有关吗?
我相信,说用户和计算机被视为与Active Directory相同的主体是正确的。 用户和计算机都有密码,用户和计算机都需要独立login到域。 我知道自动启动的NetLogon服务负责在启动时将计算机login到域。 那时,NetLogon通过DNS查找使用一些域控制器定位器逻辑来帮助它find域控制器 。 如果计算机之前已经login到该域,并且已经知道它属于哪个站点,则可以从特定于站点的DNS查询开始查找DC,如果必须,则返回到更一般的域。 如果我迄今为止的任何假设都错了,请纠正我。 那么当用户login到计算机时,他/她login到计算机时是否有单独的DC定位器进程? 还是用户使用login时已经使用的计算机? 计算机和login到该计算机的用户是否有可能拥有不同的身份validationDC?
我有一个由2个森林组成的Active Directory设置: 1个具有1个森林根域的多域森林,以及2个直接子域 1个单域森林用于DMZ发布目的 我已经在DMZ域中创build了3个传出信任,对森林根域创build了1个传递森林信任,还创build了2个外部非传递信任(又名快捷信任)。 所有四个域中的所有DC都是全局编录服务器。 我试图在下面看到它: 现在,这是问题。 当我将dmzRoot.tld的资源的访问权限授予childA域中的安全组时,它适用于属于安全组的成员childA中的用户,但不适用于childB域中的用户,即使他们是安全组在childA 。 比方说,我想让本地pipe理员访问dmzRoot.tld的成员服务器。 我将childA.ForestRoot.tld\dmzAdministrators添加到成员服务器上的本地内置pipe理员组。 childA.ForestRoot.tld\dmzAdministrators有以下成员: childA \ dmzAdmin childB \ SUPERUSER 现在,如果我以childA\dmzAdmin身份validation,则可以以本地pipe理员身份login到成员服务器,如果查看whoami /groups的输出,则会清楚地列出childA.ForestRoot.tld\dmzAdministrators组。 但是,如果我通过了childB\superUser身份validation, childB\superUser收到该帐户未被授权进行远程login的消息。 如果我检查childB\superUser帐户的whoami /groups ,则不会列出childA.ForestRoot.tld\dmzAdministrators组。 几乎看起来像childA组SID在validationchildB用户时从未包含在PAC中,即使所有的DC都是GC的。 我在dmzRoot.tld的机器上禁用了PACvalidation,我testing了它,但这没有帮助。 有关如何有效地解决这个问题的任何build议? 我如何遵循身份validation的path来确定失败的位置?
有没有一种方法来设置默认的UPN后缀用于创build新用户的Active Directory? 例如,如果我有corp.mydomain.com作为我的AD域,并且我已经在域和信任下添加了一个备用UPN后缀,只是mydomain.com,是否有任何方法可以在创build新域时将该域设置为默认值用户? 我知道我可以创build一个模板用户,然后当我复制它时,它会有正确的默认后缀,但只是好奇,是否有一个隐藏的设置,将控制这一点。
对不起,如果我在这里滥用条款; 我其实并不太了解Active Directory及相关技术。 基本上我有一台Linux计算机,我希望它(或我的用户在那台计算机上)与我的用户在域上相关联,这样我就可以浏览networking和窗口的所有东西。 这可行吗? 我需要做些什么来做这样的事情?