我一直在build立需要活动目录帐户的研究和开发环境。 由于我们将这些环境放置在isloatednetworking中,因此每个环境都需要自己的活动目录。 我如何使用PowerShell创build一个新的活动目录帐户。
对于一个非常小的公司来说,使用带有AD的 Windows服务器会过度杀伤 – 为什么不把它用作文件/打印服务器,通过远程桌面访问networking上所有机器的pipe理服务器,用于pipe理目的? 也用于保存networking上所有PC的磁盘映像… 这个小公司有三个主要的办公室雇员,一些文职人员(一打),可能有十几台电脑。 三个主要员工负责运营业务,并可以使用具有授权的良好共享文件系统(只读等)。 还有第二层可能是四个工作人员使用一些Web服务,并在networking上进行一些研究。 其余的只使用特定的网站(访问限制与K9 )。 有些应用程序运行一台专用的Windows XP机器,它运行一个应用程序(一个客户机)来控制安全性(门等) 现在他们用一个简单的工作组和一个Windows 7工作站作为婴儿文件服务器工作得很好。
我希望在Active Directory的某个地方写入/存储“最后一次login[计算机]”,或者有一个我可以parsing的日志? 想知道最后一台电脑login的目的是为了通过networking提供远程支持 – 我们的用户移动相当less,但我想知道,无论我正在咨询更新当天上午(当他们login,大概是)至less。 我还在考虑将用户和计算机名称写入我可以参考的已知位置的login脚本,但是我们的一些用户不喜欢一次注销15天。 如果有一个使用login脚本的优雅的解决scheme,一定要提到它 – 但是如果它恰好为解锁站点而工作,那将更好!
我正在使用PowerShell v2.0从Windows 7工作站开始工作,并尝试从启用了Active Directory回收站的2008 R2 FL林和域中的LostAndFound容器中删除特定(孤立的?)对象,并且没有运气与任何事情 。 重要的是,我需要删除这个对象, 只有这个对象 (而不是删除每个对象的IsDeleted属性,这似乎是所有我可以find帮助)。 我需要删除它,因为为了解决一个破坏的信任关系,计算机被从域中分离出来(据推测会导致对象进入回收站,然后到LostAndFound容器),我们想给它的原始名称(基于PC上的资产标签号)。 尝试使用正确的名称将计算机重新join到域失败,并显示以下错误消息( The specified account does not exist ) 并尝试将其重命名为正确的名称,一旦它已经在域上失败,出现以下错误消息( The account already exists ) 所以实际的电脑当前坐在那里,名字不正确,我需要纠正。 但是,试图删除此AD对象会产生错误: The specified account does not exist 。 该对象的可分辨的名称中有一个\ (反斜杠)字符,我认为这是由于它在LostAndFound容器,我想知道如果这是问题…以及如何解决这个问题。 我正在运行我的shell作为domain admin ,validationdomain admins组是完全控制和所有权的对象的问题,似乎无法弄清楚这一个。 有问题的对象(有点修改): Get-ADObject "CN=SomeComputer\0ADEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv" -IncludeDeletedObjects -Properties * accountExpires : 9223372036854775807 CanonicalName : MyEmployer.prv/LostAndFound/SomeComputer DEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6 CN : […]
我正在评估将我的组织迁移到Mercurial的可能性,但是我正在磕磕绊绊地find两个基本的要求,我找不到合适的指针。 如何设置Mercurial的中央存储库以使用中央Active Directory对用户进行身份validation,并且只有在拥有正确的凭据时才允许他们进行推送或拉取操作? 我如何设置一个Mercurial项目资源库,以便只允许属于特定组的用户推/拉源代码? 我们需要这个每个项目的授权。 哪个HTTP服务器(IIS或Apache等)支持上述两个要求? 道歉,如果我问一些明显的东西,或者如果我错过了authentication和授权如何工作的根本。
请注意,我知道这个答案,并提供了一个下面。 我看到很多新的系统pipe理员不明白我的答案的内容,所以我希望所有初学者的AD DNS问题都会被重新封闭。 如果你有一个小小的改进,随时编辑我的答案。 如果您可以提供更全面的完整答案,请随时留下一个答案。 DNS如何与Active Directory相关,以及我应该注意哪些常见的configuration?
假设域中至less有两个域控制器,那么在域控制器崩溃后需要采取哪些步骤才能使Active Directory健康运行?
当我开始一个关于Windowspipe理的演示时,我感到惊讶,我很惊讶,我没有早点问。 我知道: AD在逻辑上设置在站点中以帮助复制并减less客户端计算机和域服务之间的域必要通信延迟。 站点由应用于它们的子网来定义 _msdcs子域包含用于常规查找(_tcp)和站点特定查找(_sites)的SRVlogging的层次结构 计算机以某种方式知道他们在哪个网站,或者域控制器透明地决定DNS的一些魔力……或者是这样吗? 这篇博客文章暗示,ADnetworking中的客户端计算机可以“知道”他们是哪个网站的成员。 我的问题是,如果是这样的话,他们是怎么发现的? 如果客户端本身不知道,那么DC如何帮助机器select与客户端计算机最近的AD服务?
当我激活Advanced features ( View – > Advanced Features )并通过导航到他们的OU并右键单击用户对象来打开用户属性时,我会看到“ Attribute Editor选项卡。 但是,如果我search用户(右键单击域 – > Find – >search用户),并双击用户,我没有看到选项卡。 我不能正常导航到用户,因为一些OU有太多的用户。 有人可以build议一个替代scheme,允许我查看Attribute Editor选项卡?
我在高等教育方面做了很多工作,在特定课程或事件期间重新configuration许多Windows域成员(例如,教室中的PC)是相当普遍的要求,并且此后将此configuration撤销。 由于大多数configuration更改都可以通过组策略对象来完成,并且在OU级别取消关联或取消激活GPO时,这些更改会自动反转,这是一条非常舒适的路线。 唯一的缺点是重复的手动链接和解除OU上的GPO链接需要很多提醒和IT人员在课程开始之前和结束之后值class – 这是操作团队无法保证的。 有没有一种方法来指定特定GPO的有效性的时间框架?