Articles of 活动目录

域pipe理员可以在域中运行组策略结果向导，但具有“读取组策略结果数据”权限的另一个用户无法为同一客户端运行该向导。用户对客户端OU具有完全控制权限（需要修改权限 ）但他遇到“您没有权限执行此操作，访问被拒绝” 是运行向导所必需的域pipe理员或本地pipe理员？

我有3台服务器 1-（DC1）主要广告与所有规则和GC窗口2008 r2 2（DC2）辅助广告窗口2012 3-（EX1）交换服务器2010 Windows 2008 R2 在一个月之前，我从vmware的快照中恢复了dc1，并且出现了问题，然后我在互联网上search了两天后，我做了 1-停止NTFRS服务 2-启动regEdit钻取到HKLM \ System \ CurrentControlSet \ Services \ NTDS \ Parameters修改RegKey“从备份还原的数据库”= 1 3，向下钻取到HKLM \ SYSTEM \ CurrentControlSet \ Services \ NtFrs \ Parameters \ Backup / Restore \ Process将RegKey BurFlags修改为D2 4-重新启动服务器 这解决了我的问题，但昨天我添加了一个新的用户到dc1，它出现在dc2和ex1然后添加电子邮件地址作为交换，但似乎域用户不能看到这个用户和outlook显示用户不存在，当我尝试设置电子邮件和用户找不到，当我尝试添加文件夹权限，我不能login到通过OWA的电子邮件 但在我closuresdc2后，一切恢复正常，并没有任何问题的电子邮件工作 所以很明显，有一个USN回滚的问题，但我有很多在dc1的configuration，所以我的问题是：我可以降级dc2然后repromote来修复两个服务器之间的USN号码，即使在dc1不dc2的问题？ 对不起，我的英语，谢谢

我在我的组织中有以下设置： 子组织A具有Microsoft Active Directory服务器，该服务器为“仅Windows”世界提供服务，即其用户没有 UID或GID值。 用户具有固定的用户名（例如，“jdoe”），并且可能改变电子邮件地址“[email protected]”（可能在结婚时变成“[email protected]”…） 子组织B有一个微软的AD服务器，它服务于一个“Unix感知”的世界，也就是说，它为用户提供了UID和GUID值。 用户名一般是固定的，电子邮件可以像上面那样更改。 在两个组织中都可以有一个“jdoe”，代表相同或不同的真实世界的人（如果这个人是两个子组织都知道的话） 现在，我需要创build一个OpenLDAP设置，允许以下几点： 我住在子组织C. 用户可以使用某种唯一的ID（例如，A \ jdoe或jdoe @ A）及其子组织的密码进行login。 对于来自子组织A的用户，必须创build某种“自动”UID。 可以假设一定范围的UID具有足够的空间（例如，40k-80k）。 来自子组织A和B的任何组信息都可以被丢弃，但是我需要在子组织C中有（Unix风格的）组，其中包含来自A和B的用户。 理想情况下，我想在A和B的AD和我的OpenLDAP服务器之间进行“手动同步和保存” 尽pipe与A和B的AD连接​​可能中断，但我可以对用户进行身份validation。 标记为“禁用”的用户在同步之后，在我的OpenLDAP中也被标记为禁用 没有必要被写回A和B的AD，但AD A和AD B的变化必须被写回到我的OpenLDAP服务器。 在高层次上，这个最好的方法是什么？ 在LDAP / OpenLDAP的文档和书籍中查找哪些相关术语。 不是LDAP / OpenLDAP方面的专家，似乎在人们写下任何地方都会使用很多特定领域的语言。

我试图创build密钥存储在Active Directory中的SSH。 我们有一个AD用于我们高效的networking，我们存储用户的公钥。 所以，我们也有一个testingnetworking，我们不想将testing服务器join到我们的生产性广告。 为此，我们安装了另一个AD，并在域控制器之间configuration了信任关系。 现在我想知道是否有可能将用户公钥存储在生产性AD中，并让用户在testingAD中的服务器上用这些密钥进行authentication。 结果：密钥存储在生产域中，testing服务器jointesting域。 只有公钥请求被发送到生产AD并且在testing域中创build了同一个指定用户时，authentication才是可能的。 很难看。 如果这是我的解决scheme，我想回我的问题。 结果我希望：密钥存储在生产域，testing服务器jointesting域。 通过向testingAD发送公共密钥请求，从生产AD获取信息，可以进行身份​​validation。 有可能使用AD信任关系进行configuration吗？

这个周末我要做一个简单的任务…宣传一个服务器作为一个二级域控制器，并卸载现有的二级域控制器。 卸载是平安， 但是在新服务器上，我遇到了问题：Active Directory域服务无法将计算机帐户$configuration到远程Active Directory域控制器帐户 我的大部分使用googling导致添加BUILTIN \ Administrators到域控制器默认GPO。 但它已经在那里了。 我试着特别添加我的帐户和电脑…没有区别。 我试着将GPO策略临时链接到服务器，并执行GPupdate / force。 没有骰子。 我甚至尝试创build一个本地帐户，并尝试该过程。 同样的结果。 在这一点上，我正在select我的第二select服务器，并尝试前进，因为…你知道我必须在今天完成它。 域function级别是Windows 2016.在Hyper-V虚拟机pipe理程序上运行的Windows服务器标准64位。 这两个虚拟机都是Windows Server 2016。 我重置PDC上的DSRM密码，因为我找不到旧的logging。 我现在还在摸索着应用服务器上可能会阻止宣传的内容。 第二台服务器也失败了。 Active Directory域服务无法将计算机帐户$configuration到远程Active Directory域控制器帐户 我错过了什么？ 我跳到： Technet错误文章然而，至今我可以确定我有所有正确的权利，我的GPResults显示它是一个成功的政策。 但是，当我做一个whoami /所有它要么不显示，要么在权限部分显示为禁用。 防火墙不在场。 这台服务器没有任何问题，在域控制器的ping，并作为一个应用程序服务器相当长一段时间的一部分。 如果你已经杀死了这条龙，或者知道可以帮助我做的另一种方法，那将是不胜感激。 跟进： 我创build了一个空白的WS 2016标准虚拟机，并能够宣传它到域控制器。 我可能会继续，从一个空白的虚拟机开始，然后添加我需要的项目。 除非任何人能够协助，但是您可能需要列出所有的GPO和软件，以及等等。 我想知道是否停用所有我的GPO将解决问题。 我可以尝试，或者我可以build立在我已经知道的工作上。 感谢您的阅读并表示对我的问题感兴趣。

我正尝试将Windows 7客户端连接到域，该域是在Windows 2012服务器（核心版本）上创build的，并且正在全力开展工作。 从Win 7客户端，我可以Ping“10.0.0.2”和“xyz.com”，但我似乎无法join域。 发生以下错误： 此外，Win 7客户端IP与DC（客户端 – 10.0.0.20）和（DC – 10.0.0.2）的范围相同， 客户端DNS IP被设置为服务器IP。

问题在最后 关于我的环境 我已经尝试了两种不同的环境：（i）在Active Directory（微软）域中注册的Linux Ubuntu 16.04LTS服务器和（ii）在Ubuntu FreeBSD Realm注册的Linux Ubuntu 16.04LTS服务器。 Krb5二进制版本： $ strings libkrb5.so | grep BRAND KRB5_BRAND: krb5-1.13.2-final 1.13.2 2015050 我喜欢做什么 我试图使用ksu命令作为另一个用户login当前主机（ authdemo4.addemo.it ）： kservice 。 详细地说，我试图（i）为主机authdemo4.addemo.it获取用户kservice的服务票证，（ii）将票证保存在MITcaching文件/ media / public / krb_kservice中 ，（iii）提供这张票以ksu命令为了login为kservice 。 它应该是可能的 ksu麻省理工学院的文件指出，从caching文件使用服务票据是可能的，让我们引用： 否则，ksu将在源caching中查找适当的Kerberos票证。 该票可以是最终服务器，也可以是目标主体领域的票证授予票（TGT）。 如果terminal服务器的票证已经在caching中，则解密并validation。 如果它不在caching中，但是TGT是，则TGT用于获取terminal服务器的票证。 terminal服务器票证然后被validation。 我的实验和结果 当使用TGT Kerberos票证时，它就像一个魅力： $ kinit -c /media/public/krb_kservice kservice Password for [email protected]: $ ksu […]

我有一个在需要互联网访问的Windows 2012 R2域成员服务器上运行的服务。 该服务被configuration为在托pipe服务帐户下运行，并且该帐户被授予域成员上的本地pipe理员权限。 组策略首选项用于为所有用户configurationWeb代理设置，相关组策略在域顶级链接。 受pipe理的服务帐户存在于顶层级别的这些帐户的默认容器中，但似乎并没有将这些设置应用于HKEY_USERS下的registryconfiguration单元，并且手动将设置添加到相关configuration单元似乎没有任何影响无论是。 如何将代理服务器设置应用于托pipe服务帐户，方式与其他普通域帐户相同？

我安装了一台具有Active Directory证书服务（企业内部根权限）的机器。 该机器以最小angular色安装为服务器核心，因此未安装CA的Web服务。 我需要RDS服务器机器的证书。 此证书的模板允许指定主题备用名称来说明机器的不同DNS名称。 所以证书申请需要在证书颁发之前被批准。 我从证书（本地计算机）MMCpipe理单元请求了RD服务器的证书。 该请求显示在我可以批准的CA SMMCpipe理单元中。 一旦获得批准，证书应该如何在请求的机器中交付和安装？

我有一个用户，计算机和群组的列表，随机的人是在AD的所有者。 我想清理它们出于安全原因，只是使域pipe理员的所有这些对象的所有者。 有人可以帮助一个PowerShell脚本？ 我谷歌search没有任何运气。 我发现这个旧的代码，但它似乎并没有工作，不断得到一个错误的所有者。 作为域pipe理员，win10机器运行。 Param ( [parameter(Position=0,Mandatory=$true,ValueFromPipeline=$true)][string]$Identity, [parameter(Position=1,Mandatory=$true,ValueFromPipeline=$true)][string]$Owner ) try { $oADObject = Get-ADObject -Filter { (Name -eq $Identity) -or (DistinguishedName -eq $Identity) }; $oAceObj = Get-Acl -Path ("ActiveDirectory:://RootDSE/" + $oADObject.DistinguishedName); } catch { Write-Error "Failed to find the source object."; return; } try { $oADOwner = Get-ADObject -Filter { (Name -eq $Owner) […]