在重新分区Server 2003 R2域控制器时,我们意外删除了保存Active Directory数据库文件夹( D:\AD\Data )的分区。 D:\是与C:\共享的磁盘上的分区。 我们消除了D:\驱动器没有意识到它包含了Active Directory数据文件夹。 我们没有其他的域控制器,也没有这个Active Directory数据的备份。 有没有恢复AD的机会?
我的新雇主为数百个用户设置了文件夹redirect,而设置它的人并不知道他在做什么。 因此,没有遵循redirect的文件夹/主目录上的权限的最佳做法 。 让人们访问他们redirect的文件夹位置的解决scheme是,将“ Full Control权限(当然是NTFS权限,不是“共享”权限)应用于根目录(“主目录”)的Everyone并将其传播到所有子文件夹和文件在根之下。 什么可能会出错,对吗? 这不像CEO的“ My Documents文件夹中有机密信息,或者任何人将感染CryptoWall并encryption其他人的文件。 对? 所以,无论如何,现在CryptoWall感染已被删除,备份已经恢复,许多人希望我们用不太可怕的东西replace当前的权限,我想不必点击几个权限对话百个文件夹。 PowerShell如何为我解决这个问题,让生活重新过得去?
IIS中是否可以在IIS中设置一个站点,并且只允许某个AD组的用户访问它?
在我们的办公室,当我们尝试将RDP发送到办公室以外的远程Windows 2008 Server时,我们的所有Windows 7客户端都会收到此错误消息: 系统pipe理员不允许已保存凭据的用户login到远程计算机XXX,因为其身份未得到充分validation。 请input新的凭据 快速谷歌search导致一些职位,他们都build议我编辑组策略等 我的印象是,常见的解决方法是遵循每台Windows 7机器上的说明。 有什么办法可以通过Active Directory来做些什么来更新办公室局域网中的所有Windows 7客户端?
编辑:重新格式化为问答。 如果任何人都可以从Community Wiki中将其更改为一个典型的问题,那么这可能也更合适。 我如何才能通过Active DirectoryvalidationOpenBSD?
select本地域名(如mycompany.local)与公共注册域名(如mycompany.com)(假设您的组织已经注册了公共名称)有什么优缺点? 你什么时候select一个呢? UPDATE 感谢Zoredache和Jay向我指出了这个问题 , 这个问题最有用。 这也导致我find这个微软Technet的文章 ,其中指出: 最好使用在Active Directory名称空间中的Internet权限注册的DNS名称。 只有注册名称保证是全球唯一的。 如果另一个组织稍后注册了相同的DNS域名,或者您的组织与其他公司合并,获取或被其他使用相同DNS名称的公司合并,则这两个基础架构不能互相交互。 注意 不build议使用单个标签名称或未注册的后缀,如.local。 结合mrdenny的build议,我认为正确的做法是使用: 注册域名永远不会公开使用(例如mycompany.org,mycompany.info等)。 现有公有域名的子域永远不会公开使用(如corp.mycompany.com)。 “从未公开”的部分是一个商业决定,所以它最好是从授权保留域名和子域名的公司获得签名。 例如,您不希望使用营销部门稍后想要用于某些公开市场营销活动的注册名称或子域名。
我被告知可以创build一个不需要login的Web应用程序。 用户login到Windows,通过Active Directory(LDAP)查找进行身份validation。 然后,他们应该能够去我的web应用程序,永远不会看到一个login提示。 这些客户一直把这称为单点login(可能不正确,也是我的一部分困惑)。 但是,从我读的Tomcat文档中的单点login是: 当您希望让用户能够login到与您的虚拟主机关联的任何一个Web应用程序 ,然后在同一个虚拟主机上识别所有其他Web应用程序的身份时,使用单点login阀。 这对我来说非常清楚。 用户必须login一次,才能访问tomcat实例上的每个webapp。 但是,我需要做的是以某种方式让他们login,而不向我的Tomcat服务器提供任何凭据。 所以,为了这个工作我想象: 用户请求某个页面 服务器没有看到会话令牌,然后向客户端请求一些凭据。 没有任何来自用户干预的客户端浏览器向服务器提供一些凭证。 然后,使用客户端浏览器提供的凭据,在LDAP中进行查找。 我见过一些使用客户端证书的例子,尤其是DoD PKI系统,这对我来说很有意义,因为在这种情况下,你configurationTomcat来请求客户端证书 ,但是只要login到Windows,我就不会看到这个会工作,浏览器会传递给服务器的信息是什么?这是NTLM的用途?
在Active Directory中,如果您想阻止用户login,您可以禁用他们的帐户,或者简单地重置他们的密码。 但是,如果您有一个已经login到工作站的用户,并且需要尽可能快地阻止他们访问任何资源,那么您怎么做? 我提到一个紧急情况,一名工作人员立即被解雇,如果他们没有立即被关在networking外面,就有可能造成严重破坏。 前几天我也遇到过类似的情况。 起初我不确定如何行事。 防止用户访问networking共享很容易,但这还不够。 最终,我使用Stop-Computer -ComputerName <name> -Force PowerShell cmdlet将目标计算机closures,在我的情况下,这解决了问题。 但是,在某些情况下,这可能不是最好的select,例如,如果您需要中断的用户在多个工作站或提供重要服务的计算机上login,而您无法将其closures。 远程强制所有工作站立即注销用户的最佳解决scheme是什么? 这甚至可以在Active Directory中吗?
有什么办法(获得一个活动目录浏览器的短),以查看我的OUlogin到域?
我已经通过Powershell创build了一个名为“MyUser”的用户帐户,活动目录中的图标graphics与通过UI创build的用户testing不同。 脚本的人有一个带有向下箭头的圆圈图标: UI生成的用户没有没有向下箭头的图标。