我有一个PowerShell脚本,我们使用了几个东西,当一台新的计算机已经安装了Windows 7的时候,我们也在Windows 10上使用它,而且一切正常。 它在第一次login时运行,然后由技术人员决定,如果计算机必须join域。 但是我们需要find一种方法在脚本中执行检查,以查看计算机名是否已经存在于特定的OU中,技术人员将join。 我们不想将Active Directory模块添加到所有新的Windows 7 PC上,因为这只需要一次。 我们如何才能在PowerShell脚本中实现这样的检查,必须能够在未join的Windows 7 PC上运行,并使用脚本初始运行时技术人员已经键入的凭据? 更新 : 在我们开始部署Windows 10(与Windows 7一起)之后,我们以前的可视基本脚本的行为有所不同。 所以我们决定在PowerShell中重写它以适应Windows 7和Windows 10.我们还设法find了在同一个会话中重命名和join域的方法(=只需要1次重启)。 为了pipe理这个,我们在Win32_ComputerSystem的JoinDomainOrWorkGroup中使用一个(也许不受支持的)参数,强制计算机对象join所选的OU,即使对象已经在那里。 如果用户收到一台新的计算机,并且必须给出相同的名称,则会发生这种情况。这就是为什么我需要能够检查该特定OU是否已经存在,并且在继续join之前向技术人员询问是否正确。 新的powershell脚本有很多非英语和技术人员使用脚本的问题(读取主机)。 所以我决定拿出脚本的片段,这涉及到这个问题。 # $computername, $ou and $credentials is set before this runs $domain = "our.domain.com" $computer = get-wmiobject Win32_ComputerSystem $ret = $computer.rename($computername,$credentials.getnetworkcredential()).password,$credentials.username) if ($ret.ReturnValue -eq 0) { $ret = $computer.JoinDomainOrWorkGroup($domain,($credentials.GetNetworkCredential()).Password, $credentials.UserName, $OU, 0x1 […]
如果我能够生成成功和错误日志,该脚本将为我提供最好的批量AD用户创build脚本。 这个脚本只需要在Csv上的名字和姓氏中断几分钟。 生成日志需要帮助,如成功创build的用户和帐户列表已经存在或无法创build。 $Users=Import-csv c:\users.csv ForEach($User in $Users) { $FullName = $User.FirstName + " " + $User.LastName $SAM = $User.FirstName.Substring(0,1) + $User.LastName #example John snow will be Jsnow #$Sam=$User.FirstName+$User.LastName example john snow will be Johnsnow #$Sam=$User.FirstName example john snow will be John #$Sam= $User.firstName + "." + $User.lastName example john snow will be John.snow $dnsroot […]
我有一个新的wsdfunction的打印机。 用户可以在本地networking上发现并添加它,并且效果很好。 我怎样才能用GPO把这些推送给这些用户?这样他们就不必发现打印机并自己添加它了? 我不想configurationWindows打印服务器,我只想让客户端自动发现打印机并添加它。 我创build了一个像这样的用户首选项: 当应用gpo时,我的工作站上出现这个错误: The user 'http://10.1.1.123:80/WebServices/Device' preference item in the 'printers_gpo {guid}' Group Policy Object did not apply because it failed with error code '0x80070709 The printer name is invalid.' This error was suppressed.
我有一个用户在我的环境中不断被locking。 我设法跟踪locking的来源,并find一个位于C:\Windows\System32\inetsrv\w3wp.exe的服务器上的进程是原因。 从我所了解的这是一个IIS工作进程。 与之相关的事件是 Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 13/07/2016 13:52:26 Event ID: 4625 Task Category: Account Lockout Level: Information Keywords: Audit Failure User: N/A Computer: testpc.lab.com Description: An account failed to log on. Subject: Security ID: NETWORK SERVICE Account Name: testpc$ Account Domain: test.com Logon ID: 0x3e4 Logon Type: 8 Account For Which […]
为了清楚起见,我正在查找节点数据,而不是Active Directory的ldap树节点中的键。 具体而言,我想我正在寻找微软的官方文档。
我用domain.local创build了新的森林。 域有3个位置 – A,B,C(每个位置一个dc)首先dc-A是所有者FSMOangular色。 configuration所有3个子网添加3个站点IP“Inter Site Transports” dc-A + dc-B dc-A + dc-C dc-B + dc-C 设置所有这些 “成本” – 1 “复制间隔” – 15分钟 并使用配方立即从文章的通知复制https://blogs.msdn.microsoft.com/canberrapfe/2012/03/25/active-directory-replication-change-notification-you/ 然后将dc-B升级为域控制器,将dc-C升级为域控制器 AD站点和服务在dc-B和dc-C完全复制模式从dc-A 所有预期的工作,但是…在整个森林KCC创build只有4个连接在NTDS设置。 DC-A: 从dc-B中自动生成 从dc-C中自动生成 DC-B: 从dc-A中自动生成 DC-C: 从dc-A中自动生成 为什么KCC没有创build下面的复制连接? DC-B: 从dc-C中自动生成 DC-C: 从dc-B中自动生成 我不想创build手动连接,因为通知不起作用,那么我将不得不等待15分钟,以便通过手动创build的连接进行复制。 即使我已经find教程来手动连接通知工作,但不必混合连接名称:)。 希望所有这些由KCC创build。 尝试了很多教程,通过repoadmin / kcc dcdiagtesting等来重build连接。 如何强制KCC创build6个需要的<自动生成的连接? 我问,因为在不可用性dc-A(FSMO所有者)dc-B和dc-C不会互相复制。
我遇到了一些麻烦,并将其应用于Windows 10机器上。 我在域级顶部应用了几个GPO,其中一些仅包含计算机设置,一些只包含用户设置,另一些包含两者。 如果我执行GPresult / r,则可以看到在用户设置下应用的GPO,其中包含用户和计算机设置。 我可以看到在用户设置下应用的GPO,即使该策略包含NO用户设置。 最后,我可以看到在包含用户设置的用户设置下应用的GPO。 那么更奇怪的是,在用户设置下,我有2个GPO显示为未应用(未知原因),其中一个是默认域策略,但都不包含任何用户设置! 据我所知,所有的计算机政策正在适用,问题在于用户设置。 我需要弄清楚为什么GPO即使不包含用户设置,也显示为已应用,还有为什么它显示应用不包含用户设置的GPO的未知原因。 编辑 :gpresult的屏幕截图: 请注意,我已启用回送模式,所以这就是为什么他们出现了两次。 编辑 :当前委托设置 我们的默认域策略目前有这些设置: 创build者所有者 – 特殊 经过身份validation的用户 – 读取,应用 系统 – 除了完全控制和应用之外的一切 域pipe理员 – 读取,写入,创build子对象 域计算机 – 读取,应用 企业pipe理员 – 读取,写入,创build子对象 企业域控制器 – 读取 编辑 : 因此,使用与之前完全相同的设置重新创build“DOM-IE-CompatView”GPO后,不再显示为“未应用(未知原因)” 我是否应该使用dcgpofix将默认域策略恢复到默认设置?
我有一个GPO修改用户和计算机configuration。 在此GPO上,基于主机名的WMI筛选器将排除某些计算机。 select Name from Win32_ComputerSystem where (Name <> "comp1-*") select Name from Win32_ComputerSystem where (Name <> "comp2-*") select Name from Win32_ComputerSystem where (Name <> "comp3-*") 每一行都是filter中的一个单独请求。 GPO链接到父OU,默认情况下,安全筛选留给“已通过身份validation的用户”。 我的GPO仍然应用于父级和子OU的所有计算机上。 有任何想法吗 ? 谢谢。
在过去,我们使用winbind将我们的RedHat服务器与Active Directory集成,我们切换到使用realmd和sssd。 winbind提供了一个工具wbinfo来查询用户/组属性。 例如wbinfo –uid-info id sssd是否提供了类似的工具? 我安装了sssd-tools,但似乎是添加/删除/修改用户和组的工具集合。 我需要将smbstatus提供的uid转换成用户名
我有一个由两个ASP.NET Web服务器(负载均衡)和一个SSRS服务器组成的域。 我们设置域以允许Web服务器访问SSRS Web服务,SSRS也是域控制器。 每个应用程序服务器上还有一个Windows服务。 该域有一个账号,负责每个Web服务器上的Web应用程序池,同时运行Windows服务和SSRS服务。 我们周期性地遇到Web应用程序无法将文件写入本地磁盘的Web服务器上的问题。 重新启动应用程序池可以解决问题。 使用进程监视器检查应用程序池进程时,我们可以看到,在尝试写入文件时,在尝试查询域帐户的registryconfiguration单元时遇到“HIVE UNLOADED”消息。 我们还可以看到在两个应用程序服务器和SSRS /域控制器服务器上出现频繁的Windows事件16,这表示registryconfiguration单元的访问历史logging正在被清除。 我的问题:有什么我可以做的,以阻止域帐户的registryconfiguration单元被清除? 另外,为了帮助我们的调查,是否有一个安全的方法来触发蜂巢被清除,以便可靠地再现问题?