我们最近在公司中启用了密码复杂性要求,我注意到已经有复杂密码的用户不必被迫更改密码,但其他人都被要求。 现在的问题是,如果可逆encryption未启用,AD如何确认密码的复杂性? 我能想到的唯一方法是设置一个策略/标记来检查用户尝试login时的密码复杂性客户端。如果“客户端机器”注意到使用的密码有效但不复杂,启动密码更改程序。 任何人都可以证实或者说明这一点吗? PS。 在我们的情况下,AD基础架构是基于Windows Server 2003的,但是如果在2008 / R2信息上完成的方式有所不同,那也是值得赞赏的。
快速的背景。 我的组织最近从Lotus Notes更改为Microsoft Outlook。 我有一些以前使用Lotus Webmail的生产用户将使用Outlook Web App。 随着Notes它使用用户的互联网凭据进行身份validation。 那个密码永不过期,很容易让这些人知道如何检查它。 他们正在使用的机器具有通用的Windowslogin。 Outlook使用AD凭据进行身份validation,并且该密码必须每45天更改一次。 这些用户不使用AD帐户,所以他们不会被提示。 因此,每45天,就意味着我将不得不打电话给服务台重置密码,然后在某个地方find一台电脑,然后一次login,只需更改密码即可。 我有权将他们添加到组,但不能更改他们的密码。 有一个系统的方法(脚本),我可以自动化这个,把一个计划的任务,每40天将其密码增加1? 例如这次有密码是Jdoe1,下次是Jdoe2等。我尝试了一些CMD行示例来更改密码,但似乎您必须是域pipe理员才能运行它们。 dsquery user -samid DoeJ | dsmod user -pwd Pa$$word1! net user DoeJ Pa$$word1! /domain 这是我见过的两个变化。 我已经尝试了几种不同的方式来使它工作,但没有骰子。 我有用户自己的用户名/密码,我想改变它,而不必去桌面去做。 有任何想法吗?
我目前的问题一直在挠头。 你看,我有通过GPO推送的这个启动脚本。 问题是,尽pipe脚本开始正常(我看到它在事件日志中启动时创build的事件),但在枚举和/或修改HKU下的registry设置时,它总是失败。 如果我以pipe理员身份login并手动执行脚本,则可以使用! 如果我启动一个命令提示符为SYSTEM(使用“at”解决方法)并手动执行脚本,它也可以! 如果我重新启动…脚本总是失败。 任何人都可以阐明我的问题? 附加信息:这个脚本为本地pipe理员注入了一些registry值(即S-1-5-21等等等等),所以我不确定它是否可以通过GPP来实现,更不用说因为几乎所有的在我的领域工作站仍然使用XP,所以不保证GPP的支持。
所以基本上,我们目前正在testing我们新的2012年的森林/域名,并设置了3个2012年的DC。 一切运行良好,我们即将开始准备进入生产状态。 幸运的是,我们遇到了停电事故,之后一个DC崩溃,Windows拒绝启动,过去几天我们一直在尝试所有这些事情,以使其无法成功。 无论如何,这是除了点,但只是一些背景资料。 崩溃的服务器是我们的“主”DC,或者我们首先安装DC并安装了林/域的DC。 另外两个join。 我们认为有两个备份的DC,如果一个崩溃,它不会是一个问题,但显然这是一个巨大的问题。 另外两个DC现在无法连接到森林/域名,无法复制,无法做任何事情。 这些数据中心是否只是一直从我们的主数据中提取数据,基本上是作为负载平衡器? 重做一切都不是一个大问题(虽然很烦人),而且由于我们还没有达到生产状态,所以我们没有备份。 虽然数据可以说在磁盘上仍然是安全的,但是由于winlogon.exe / csrss.exe问题,只是Windows无法启动。 所以基本上我的问题是:为什么所有的DC都会失败,如果我们的“主”DC失败?
有什么办法可以真正的撤消dcpromo吗? 也就是说,这将恢复所有以前的SAM帐户和密码。 小于全驱备份的东西? 类似的问题( 会降低Windows Server 2003域控制器恢复本地帐户? )询问降级命令是否会自动执行此操作。 这个问题问是否有办法从中断的地方。
我在一个教育委员会工作,在我们的系统内我们有12所学校。 每所学校平均200-300台电脑。 多年来,电脑已经build立了使用各种工作组。 我们有兴趣将所有这些计算机转换为一个AD域。 有没有一种方法可以在每个学校的服务器上自动执行此过程? 我们正在使用Windows Server 2003。
在我的国家约旦政府决定取消夏令时,所以时区是(UTC +2),现在是(UTC +3),但微软发布了这个问题的修补程序更新。 现在我需要在我的所有域计算机(服务器除外)上安装此更新(KB2779562),并确保将时区设置为(Amman UTC +3)(因为有些PC设置为其他国家/地区的时区)。 有没有办法通过活动目录做到这一点(因为我有超过200台电脑!)? 提前致谢
与生产环境相比,这更像是一个教育问题。 我有一个AD环境与两台IIS服务器托pipe相同的网站内容。 为了争论,我们可以说,它只能在内部访问。 我想负载平衡使用Windows DNS的两个IIS服务器之间的DNSlogging: myintranet.mydomain.com 。 在IIS中,这是可能的吗? 我怎么去设置这个呢? 非常感谢。
为什么我们需要用户的主要组 ? 为什么用户必须拥有主组 ?
过去几个月我一直在使用Sever 2012标准的评估版本,现在想购买零售版本。 有没有办法保留相同的Windows副本,但将其变成零售版本,而不必重新安装Windows? 我之前读过的东西并不像听起来那么容易,而且我曾经尝试过一次,但它不接受这个键(相同的版本和全部)。 如果必须使用Windows的许可副本构build新的虚拟机,复制AD的最简单方法是什么? 创buildAD作为域控制器,然后在旧机器上运行dcpromo? 任何build议感激!