道歉,如果我没有find类似于我的问题,但我已经搜查诚实! 首先,我们对活动目录的安全性采取了默认组方法。 这一直非常成功。 然而,我们有一个错误熊,导致所有高级pipe理员在现场感到沮丧,因为他们需要请求另一个pipe理员更改他们的密码。 这不是我们想要的理想,也不知道是否有其他人反对这个问题。 这里的重要信息是我们正在使用terminal服务来远程数据中心,并使用服务器上的用户和计算机来重置密码。 另外,我还发现将用户放在Enterprise Admins组中可以更改密码。 但是我不能为我的生活锻炼什么acl / dacl来添加/更改,以便使我们的组在没有添加到用户的企业pipe理员angular色的情况下运行。
我作为一个有2个办事处的小公司的IT人员工作。 目前,我们正在将整个networking基础架构转移到不同的主机上,因为我们正在极其过时的Windows服务器上运行所有的东西。 新的托pipe公司将负责大部分移动过程,但我的任务是评估我们目前的状态。 我不是networkingpipe理员(主要是办公室里的代码和维修电脑),所以我对从哪里开始有点困惑。 我基本上需要制定我们每个域控制器负责的内容,并提供我们networking上每个组件的总体概述。 我知道我们托pipe了几个应用程序,用于用户pipe理的Active Directory服务器,以及可能还没有意识到的其他事情。 我需要把所有东西拼凑起来,并向上级汇报。 有经验的networkingpipe理员将采取什么措施来研究现有的networking基础设施 我需要什么工具? 任何帮助将不胜感激。
有一个与AD有关的问题,我不明白什么样的configuration缺less解决这个问题。 我有两个DC:testa和testb,都包含AD。 我login到testa,我试图获得testb中的所有域。 当我使用LDAP时,下面一行按预期使用对DC testb的匿名访问:DirectoryEntry trustedForest = new DirectoryEntry(“LDAP://tstb.local/RootDSE”); 但是,当我使用LDAPS,即configurationAuthenticationType为AuthenticationTypes.SecureSocketsLayer,我收到以下错误: login失败:未知的用户名或密码错误 如果我将用户名和密码提供给DirectroyEntry,如下所示: DirectoryEntry trustedForest = new DirectoryEntry(“LDAP://tstb.local/RootDSE”,user,pass); 它工作正常。 使用LDAPS时可以使用匿名访问吗? 我不希望用户保留DC的所有用户和密码,以获得其中的域。
我似乎无法find包含我想在AD中的信息的日志。 我想loginlogin事件,所以我可以看到每个用户login和它来自哪里,类似于用户提供一个错误的密码logging的信息。 最后,我想更改服务帐户的密码,但是想要在更改之前找出它正在使用的位置。
在我所做的所有的阅读和研究之后,这似乎是发表这个问题最合乎逻辑的地方: 为什么我可以使用VBA查询Active Directory,而不是SQL Management Studio 2012中的链接服务器? 首先,我已经能够做到这一点,但在许多月前与SQL Server 2005。 这是我正在尝试的查询: SELECT * FROM OpenQuery( ADSI, 'SELECT displayName, title, department, employeeID, userAccountControl FROM ''LDAP://dc=testdomain'' WHERE objectCategory = ''Person'' AND objectClass = ''user'' AND userAccountControl=512') 这是我得到的错误: Msg 7321, Level 16, State 2, Line 1 An error occured while preparing the query "SELECT displayName, title, department, employeeID, userAccountControl […]
如何使用计算机组策略更改显示?
我已经安装了Windows 2008 Server Standard R2并安装了AD / DNS服务器。 之后,我无法login我创build的本地用户。 “您无法login,因为您使用的login方法不允许在此计算机上” 我试过删除和重新创build用户,但无济于事。 有很多的情况下,这个错误已经在networking上报告,我一直在尝试所有的解决scheme,build议我可以find并在过去的3个小时这样做。 我仍然可以使用Domain Adminpipe理员帐户login。 使用组策略pipe理(默认域策略 – >计算机configuration – >策略 – > Windows设置 – >安全设置 – >本地策略 – >用户权限分配)。 我已启用“允许本地login”并添加“域用户”。 这不起作用 – 我甚至尝试过“每个人”。 以下是关于用户的一些信息。 User name joshua Full Name joshua Comment User's comment Country code 000 (System Default) Account active Yes Account expires Never Password last set […]
我为一个小型组织工作,这个组织很快就会在这里开创另一个业务部门。 我们有一个现有的活动目录基础设施,并且正在寻找向森林添加另一个域。 与此同时,我们正在将现有的基础设施迁移到数据中心,因此增加服务器的成本在这方面起着巨大的作用。 我总是被告知,在您的环境中部署冗余域控制器是一种很好的做法。 有了这个说法,该组织正在最大限度地预算明智,这将是困难的在这两个域的数据中心部署冗余的域控制器。 在这种情况下是否可以部署某种冗余,每个域只有一个DC? 例如,假设我有domain1.mycorp.com和domain2.mycorp.com,两个域只托pipe一个DC。 如果domain2 DC发生故障,是否可以从domain1 DCvalidationdomain2的用户? 如果这是可能的,我将如何去做呢? 任何帮助或见解将不胜感激。 谢谢
所以我想先为几台计算机添加一个GPO,然后在testing系统中确认一切正常后,将此规则部署到所有计算机上。 我有麻烦让GPO部署到只testing计算机。 我有GPO链接到特定的OU。 (幸运的是一个testingOU不是真正的OU)我的安全过滤设置为“Authenticated Users”和testingOU中的1台计算机。 (安全筛选列中有2个项目)但是,似乎testingOU中的两台计算机仍在部署此GPO,而不是筛选中列出的这台计算机。 所以我的问题是…是否“authentication用户”与“所有人”相同,包括链接的OU内域中的所有计算机? TIA!
我们希望将我们的AD连接到多个networking。 这些networking之间有一个防火墙。 我想知道是否最好的做法是打开DNS / AD的防火墙规则,或者通过AD服务器中的两个网卡分别连接到每个networking? 谢谢