场景: 当我的DC正在运行时,我login到任意一台机器。 我停止了DC 我注销任意机器。 让我们也反弹一下吧。 当机器恢复时,即使DCclosures,我仍然可以使用我的域名凭证login 为什么和如何? 在“任意”机器上是否有某种本地凭据caching? 我的密码在某些情况下被散列并存储在案例中,DC爆炸或停机? 如果我试图login到一个我以前从未login过的DC,同一过程是否会工作?
我最近在一个环境中,在全球100多个地点有120个域控制器。 这个域从Windows 2000时代开始,随着时间的推移而升级, 严格的复制一致性从未被设置为新的DC的默认设置,并且从未在任何DC上启用。 在目录中有一些滞留的对象,因此你会经常看到相当多的冲突对象。 使用repadmin /removelingeringobjects需要知道两件事情: 哪些DC在数据库中有滞留的对象 DC上没有挥之不去的对象用作参考DC。 显然,将来应该设置这个环境,以便所有新的DC都有严格的复制一致性,并且运行repadmin /options * +strict以使得所有当前的DC使用严格的复制一致性, 但是现在会中断复制而不清除对象 。 所以我的问题是这样的:在这样一个大环境下,我不知道哪个区域中心有拖延的对象,哪些区域没有,我怎样才能find一个好的参考区域来使用repadmin /removelingeringobjects ,怎样才能保证在执行严格的复制一致性和中断复制之前,所有120+个DC都干净地留下了对象。 或者,打开严格的模式并观察repadmin /replsum来查看什么是打破和处理它更容易?
在Outlook最近的事件发生后,我想知道如何最有效地解决以下问题: 假设一个相当典型的中小型AD基础架构:几个DC,一些内部服务器和Windows客户端,几个使用AD和LDAP进行DMZ(SMTP中继,VPN,Citrix等)内部用户authentication的服务以及一些内部服务都依靠AD进行身份validation(Exchange,SQL服务器,文件和打印服务器,terminal服务服务器)。 您可以完全访问所有的系统,但是它们有点太多(计数客户端)来单独检查。 现在假设由于某种未知的原因,每隔几分钟一个(或多个)用户帐户由于密码locking策略而被locking。 find对此负责的服务/机器最好的方法是什么? 假设基础设施是纯粹的,标准的Windows没有额外的pipe理工具,而且默认的变化很less,那么find这种locking的原因有什么办法可以加速或改进? 可以做些什么来提高系统对这种账户lockingDOS的弹性? 禁用帐户locking是一个明显的答案,但是随后遇到的问题是用户可以轻松地使用密码,即使执行复杂性也是如此。
我们有一个在不同networking中具有3个DC的域,我们想要分解其中的一个。 但是,由于networkingconfiguration错误,我怀疑剩下的两个DC不能相互复制。 所以我想确保在我关掉陈旧的DC之后,剩下的两个将会彼此完美地复制。 我可以在两个DC之间没有任何问题,但我怀疑复制可能是一个不同的故事。 当我发出repadmin /showrepl dc1 ,它只会显示以前的复制与我想要删除的DC的状态。 安全 DC未列出。
我需要获取Active Directory安全组中一组帐户的最后一次密码更改,我觉得这是PowerShell应该擅长的。 现在,我已经停留在如何从我正在查看的AD帐户读取pwdLastSet属性。 即使运行这样简单的东西: [adsi] "LDAP://cn=user1,ou=Staff,ou=User Accounts,dc=ramalamadingdong,dc=net" | Format-List * 给出pwdLastSet的结果,如下所示: pwdLastSet : {System.__ComObject} 我觉得我这样做是错误的,那么查询和格式化pwdLastSet属性的输出(这个值是基于Windows Epoch而不是人类可读的)的最好方法是什么?
我最近发现了Active Directory的“adminSDHolder”function。 我需要一个快速的方法来识别所有将受其影响的用户,即转储用户帐户的脚本。
pipe理员意外删除了错误的OU,并删除了多个帐户和计算机对象。 回收站可选function未启用。 我们使用sysinternals的adrestore来获取帐户。 为了确保这个过程更容易,我们下次启用回收站可选function时,可以按照指南和TechNet使用Enable-ADOptionalFeature通过PowerShell轻松完成。 在PowerShell和上面的链接中都提到了以下内容。 在此版本的Windows Server 2008 R2中,启用Active Directory回收站的过程是不可逆的。 在您的环境中启用Active Directory回收站之后,它不能被禁用。 理论上我总是想让它启用,但我一直犹豫,直到我明白即将发生的事情的含义。 如果有问题,我有一个单一的域名森林。 启用此function的含义是什么? 这必须涉及为什么它没有默认启用。
Windows Server 2008引入了只读域控制器,它接收域数据库的完整副本,但不能修改它,就像一个很好的旧的Windows NT BDC。 我知道所有关于如何运行这些半决赛的技术细节(我刚刚通过了70-646和70-647),但是我仍然没有清楚地回答所有最重要的问题: 你为什么要使用它们 ? TheCleaner的这个评论真的可以为我总结: @Massimo – 是的,你是对的。 U正在寻找一个令人信服的RODC理由,而且没有一个。 它还有一些额外的安全function,可以帮助减轻分支机构的安全性,如果您没有DC,那么只需要在那里部署安全function,并对其安全性进行分析。 我也是这么想的,安全性稍微提高了一点,当然可以,但绝对不值得这么麻烦。
我有一个反复出现的DNS问题,一直困扰着我们的用户,偶尔会让他们的笔记本电脑将我们公司的域名附加到所有DNS查询的末尾。 这个问题只发生在用户不在现场时,而且看起来相当随机。 它会有一天工作,然后突然出现无效的条目。 这主要影响Windows XP用户,但最近也在Vista上看到。 这里是一个使用nslookup的例子。 C:\Users\Username>nslookup www.yahoo.com Server: Linksys Address: 192.168.0.1 Non-authoritative answer: Name: www.yahoo.com.MYDOMAIN.COM Address: 999.999.999.999 我已经replace了一个占位符报告的IP地址,但我可以告诉你,它返回的是默认的*。 进入我们的networking解决schemeconfiguration。 由于显然www.yahoo.com.MYDOMAIN.COM不存在这是有道理的。 我相信用户的内部设备运行正常。 在内部,我们运行Windows 2k3 Active Directory w / Windows的DHCP和DNS服务器。 最终,问题通常会在几个小时内解决或重新启动。 有没有人见过这种行为?
我有一个.net Web应用程序需要获取用户在Active Directory中的成员组。 Todo这我使用用户logging的memberOf属性。 我需要知道在所有用户logging中读取此属性所需的权限。 目前我正在尝试读取此属性时得到不一致的结果。 例如,我有一个用户组在同一个OUpath中的30个用户。 使用我自己的凭据来查询AD – 我可以读取一些用户,而不是其他人的memberOf属性。 我知道所有用户都有一个memberOf属性设置,因为我使用域pipe理员帐户login时已经检查过。