如何查找Active Directory域中使用PowerShell在x天内处于非活动状态的所有计算机帐户? 请注意,我确实知道如何做到这一点。 这是一个自我回答的问题,只是为了获得知识。 如果有其他人有更好的方法,随时张贴!
由于我无法控制的原因,我负责设立GPO / GPP,为我们的1000多个客户部署我们的100多台打印机。 好消息是,我们有十几个站点,而且大多数情况下,我可以将站点X的所有打印机推送到站点X的所有客户端PC。 坏消息是,我知道如何做的两种方式( “使用组策略进行部署…”, 使用GPP /组策略首选项 )涉及的手动工作比我愿意的要多得多我甚至无法select打印服务器上的所有打印机,并使用“ Deploy with Group Policy…选项,例如,我希望我可以一个接一个地完成这个任务GPP更糟糕,因为它期望我从打印服务器中select打印机的path,然后手动打印一些应该能够从打印机连接中获得的信息(如打印机IP)。 我的Google-Fu用于将打印服务器上的所有打印机添加到GPO / GPP的脚本已经空了,而且我似乎还没有看到用半自动化的方式来做这件事的另一种方法,但是我坚持相信我错过了一些东西,因为没有任何理智的人会select手动将数百台打印机添加到GPO中。 理想情况下,我想find一个使用GPP的程序化方法,但是在这种情况下,任何不需要几十个小时手动添加打印机的解决scheme都会很棒。 有没有人有办法做到这一点,或者我需要build立一个PowerShell脚本和/或欺骗下属这样做?
文件服务器是IT生活中的事实,我很好奇,如果有任何普遍接受的做法(我不愿意在这里使用“最好”一词)如何创build组和申请权限来pipe理客户端访问共享文件夹一个文件服务器。 在我目前的工作中,我最终inheritance了很多不同的方式,从ACL上的几十个组到将各个用户直接放在文件系统上。 我的任务是清理混乱,并在整个公司(大型环境,15万人员,90万台客户端计算机,100多台文件服务器)中提出某种标准化的方法。 从我对这个问题的理解来看,您至less需要每个安全资源所需访问级别为一个组。 这种模式似乎给了最大的灵活性,除非需要支持不同的访问级别,否则不需要再次访问文件系统权限。 缺点是您将创build更多的组,而不是跨多个共享资源重复使用相同的组。 这里是一个例子,显示我的意思: 在名为FILE01的文件服务器上有一个称为“testing结果”的共享,您需要只读访问,读写访问和完全控制的人员。 1个安全资源* 3个访问级别= 3个安全组。 在我们的AD环境中,我们将它们创build为通用组,以便我们可以轻松地添加林中任何域的用户/组。 由于每个组唯一地指向共享文件夹和访问级别,因此组名称包含这些“关键”数据片段,因此权限为: "FILE01-Test Results-FC" — Full Control "FILE01-Test Results-RW" — Read & Write "FILE01-Test Results-RO" — Read Only 通常,我们还将包含内置的SYSTEM帐户和内置的具有完全控制权限的pipe理员。 现在可以使用组成员身份来处理谁实际获得访问此共享的任何更改,而不必访问ACL(通过添加代表特定业务angular色(如经理,技术人员,质量保证分析师等)的“angular色”用户一次性访问)。 两个问题: 1)这实际上是一个处理权限的build议或有效的方法,或者我错过了一些更简单,更优雅的解决scheme? 我会特别感兴趣的是使用inheritance的任何解决scheme,但仍然保持灵活性,在事情发生变化时不必重新ACL大部分文件系统。 2)你如何处理你的环境中的文件服务器权限和组结构? 对于那些也在大型环境中工作的人员的奖励积分。
正如问题标题所说,我试图找出何时在Active Directory中创build用户帐户。 操作系统是Windows Server 2003。
目前我们有一个Active Directory设置,并且说这个名字是'example.com'。 example.com的DNS条目有两个Alogging指向两个域控制器。 我希望内部用户能够通过使用http://example.com/访问我们的网站,但是,我们不运行网站的域控制器,我不想安装IIS或其他服务只是待办事项redirect到www.example.com。 如果我理解正确,我应该能够删除这些条目,并添加一个指向Web服务器的IP的新的Alogging,事情不会中断,因为客户端通常使用SRVlogging来定位域控制器等等。 它是否正确? 我不想造成中断是我在改变之前要求的原因。 🙂
joinAD域时,客户端应用了哪些更改? 在与networking断开连接时,域成员应该如何行动? 用户是否能够login? 域网用户策略在networkingclosures时是否仍然适用? 如果您知道提供Active Directory全面介绍的全面资源,请发布它们。 谢谢
我刚刚购买了一台新的服务器,它将成为新的主域控制器。 我想知道是否有人知道如何做这个改变的文章或教程? 我可以想象它只是设置angular色并从旧的域控制器导入Active Directory的备份。 我只是想确保我不会错过任何关键的任务。
我有一个GPO,我需要应用到用户DOMAIN\DumbGuy ,但只有当他login到DOMAIN\DumbGuysComputer$ 。 当DOMAIN\NiceReceptionistlogin到DOMAIN\DumbGuysComputer$它不应该应用。 当DOMAIN\DumbGuylogin到DOMAIN\ReceptionstsComputer$它不应用。 它只需要在一台电脑上申请一个人 。 如果我将GPO应用于用户对象,则将适用于他所有的计算机。 如果将GPO应用于计算机对象,则将应用于该计算机上的所有用户。 如果我把它应用到两者,它扩大甚至更广泛。 如何在一台计算机上将GPO应用于一名用户?
我有一个从备份中恢复的Windows 2008 R2独立域控制器。 原始的DC离线。 当我用有效的用户凭证login时,出现错误: “服务器上的安全数据库没有该工作站信任关系的计算机帐户” 我怎样才能login到域控制器,并修复任何破坏? 这是森林里唯一的DC。 对于它的价值,我在Rackspace托pipe这台服务器,所以我的物理选项是有限的。
我是一个程序员,试图pipe理一个小公司的Active Directory设置。 域控制器正在运行Windows Small Business Server 2008。 我们有一名使用平板电脑的现场工作人员; 平板电脑ThinkVantage英美公司的configuration问题将要求这些用户在使用平板电脑时拥有pipe理员权限。 没关系的 – 当我通过电话修复他们时,他们有广泛的权限是很有用的,所以我不想在那里寻找解决办法。 我想使用组策略设置以下情形:在特定安全组(或组织单位)中的计算机上login时,特定安全组(或组织单位)中的用户应该在BUILTIN / Administrators组中。 如果计算机必须位于OU中,那么可以,但我更愿意按组来分配用户。 当然,外地工作人员不应该是其他工作站上的pipe理员,香草办公室工作人员不应该是平板电脑上的pipe理员。 目前,这是在每台平板电脑上进行本地pipe理,但是随着我们添加新员工,这变得更加麻烦。 我觉得受限制群体就是这里的答案,但是在AD概念和方法上没有坚实的基础,我很难做到这一点。 这个任务的适当技术是什么,我将如何去执行它?