我们当前的域名是在2008 R2的function级别,所有当前的域控制器都build立在Windows Server 2008 R2操作系统上。 我们的一个远程站点域控制器即将更换,我们正在考虑在Windows Server 2012 R2操作系统上部署域控制器。 是否有任何“疑难杂症”或需要注意的事情? 我知道这可能会将域名级别提升到混合模式,但是有没有什么东西在这个设置中不起作用? 看起来非常简单,只需安装angular色,然后通过服务器pipe理器运行dcpromo即可。 我记得从2003年的function水平到2008 R2的function水平的跳跃是多么困难,只是想确保在这种混合模式下运行不会引起更大的头痛。 我看过Technet,没有看到任何似乎太困难或危险的事情。
我们是一个拥有混合BYOD和Active Directory环境(Windows Server 2012 Standard,Windows 7 Enterprise)的300人的小型组织,我们遇到了一个非常奇怪的问题,涉及非常具体的失败问题,以解决我们组织的域名问题join了公司控制的机器。 为了讨论的目的,我将使用company.com而不是我们的域名。 背景: Active Directory域控制器位于172.16.1.3 AD / DC机器也运行DHCP,DNS和HTTP(IIS) 我们在company.com和subdomain.company.com的组织网站由AD / DC机器上的IIS托pipe 我们有一个拆分DNSscheme,其中AD / DC服务器用于内部DNSparsing,但另一个异地服务器为公共查询提供DNSparsing 与company.com和subdomain.company.com对应的IP地址是我们networking边缘的防火墙所使用的公共IP地址(AD / DC DNS服务器和非本地DNS服务器) 防火墙已正确configuration为使NAT通过其公有IP地址收到的HTTP和HTTPS请求传递到AD / DC服务器的内部IP 情况1: join域的Windows 7 Enterprise计算机上的用户直接连接到本地networking,本地地址为DHCP服务器发布的本地地址172.16.6.100/16。 DNS服务器条目由DHCP(172.16.1.3) 此用户可以访问在company.com和subdomain.company.com上托pipe的网站 编辑: NSLOOKUP已经在这种情况下运行,并正确地返回从内部DNS服务器(172.16.1.3)正确的DNSlogging 情景2: 同一个join域的Windows 7 Enterprise计算机上的同一个用户回家并使用他们的住宅ISP连接到互联网 客户机的IP和DNS服务器条目由DHCP提供 此用户可以访问任何互联网资源,如google.com 此用户无法访问company.com或subdomain.company.com上的网站(返回“未解决主机”错误) 当这个用户在company.com上运行nslookup时,他们会收到由DNS提供的正确的公共IP地址 对IP地址的HTTP / HTTPS请求成功,并且服务器正确返回网页 这个问题在所有的网页浏览器中都占上风 使用tracert company.com返回“无法parsing目标系统名称” 使用ping company.com返回“无法find主机company.com” 在失败的请求之前/期间在客户端上运行Wireshark时,客户端计算机不会发送任何数据包(用于DNSparsing或用于初始HTTP / ping / […]
您可以使用Active Directory PowerShell模块pipe理Windows 2003function级域吗? 这些模块是在Server 2008 R2中引入的,所以它们不能在Server 2003上工作,但是我已经阅读了有关使用ADpipe理网关服务来完成此操作的信息。 我不清楚这是否会工作,如果我只有Windows 2003域控制器和Windows 2008 R2域控制器。 有没有人知道肯定?
我正在处理一组将用于将用户和结构从一个活动目录迁移到另一个活动目录的脚本。 为此,我使用Get-ADOrganizationalUnit命令行程序来导出OU,如下所示: Get-ADOrganizationalUnit -SearchBase $filterbase -filter * | export-csv $outcsv 事实certificate,我们有有用的信息存储在源OU的“description”属性中。 不幸的是,这些信息似乎并不是Get-ADOrganizationalUnit命令行导出的数据的一部分。 那么,有没有人可以提出一个方法,我可以从源AD得到相同的信息,但包括描述? 事实上,如果我唯一返回的属性是可DistinguishedName name , name和description那么我可以很好地工作,所以如果您有另一种方式来列出包含这些属性的特定OU下的所有OU(并且可以通过pipe道export-csv ),它也会工作。
在Active Directory中,您可以设置和执行用户必须使用强密码的规则,不能使用他们已有的最后5个以上密码,强制执行密码复杂性。 有没有办法强制这样的设置,以便如果一个服务帐户(密码重置Web服务)试图设置用户的新密码,检查对策略,并被接受或拒绝? 看来,由于服务帐号正在强制更改密码,用户可以通过网页界面input相同的密码,并一直重复使用相同的密码。 由于它是一个服务帐号,所以不会对最后一次已知的密码进行检查,因此不会强制执行密码规则 虽然程序员可以编码复杂性检查最后使用的密码检查不能在Web界面上检查,因为Web服务不知道最后的密码。 是否有可能强制它使服务帐户的密码更改也像正常的用户密码更改会受到限制?
我无法通过Powershell访问我的Active Directory的location属性。 (Windows Server 2012 R2) 以下命令不返回任何值: > (Get-ADReplicationSite "Default-First-Site-Name" | Get-ADObject).location 这个命令返回一个标识符: > (Get-ADReplicationSite "Default-First-Site-Name" | Get-ADObject).objectGUID 当我查看Active Directory站点和服务pipe理单元中的对象的graphics属性编辑器时, 可以通过objectGUID属性validation,我确实查询了正确的AD对象,并且填充了位置属性 。 那么为什么Powershell没有返回值,我该如何查询和编辑location属性呢?
当试图在2003 forest \ domain级别域上将2012 R2计算机升级为域控制器时,在通过adprep和forestprep过程时遇到以下错误: ADPrep执行失败 – > System.ComponentModel.Win32Exception(0x80004005):连接到系统的设备无法运行。 查看C:\ Windows \ debug \ adprep \ logs \ 20160128201714目录中的日志文件以获取详细信息。 ADPrep日志显示以下错误: [2016/01/28:20:17:14.402]传给ldifde的命令行是ldifde -i -f“C:\ Windows \ system32 \ adprep \ sch32.ldf”-s“ral-ad1.AD.mydomain。 com“-h -j”C:\ Windows \ debug \ adprep \ logs \ 20160128201714“ – $”C:\ Windows \ system32 \ adprep \ schupgrade.cat“[2016/01/28:20:17:33.382] ERROR :从文件C:\ Windows \ system32 […]
我不太确定这是否可行,但是我需要强制某个安全组的用户使其密码过期,以便在下次login时强制更改密码。 原因是因为我将FGPP(密码策略)应用于这个特定的组,以执行强密码。 那么,许多用户的密码真的很脆弱,除非被迫,否则不会被改变。 有没有办法做到这一点,而不强迫每个人都只有一个密码?
我们是一个小学院,每个学生都分配了一个Active Directory帐户。 我们有几台计算机实验室,机器全部join到域中,学生可以login到任何机器。 在一个学期的过程中,大多math生将login到大多数机器。 过去,在Windows XP下,我们使用旧的“复制configuration文件”function以及名为“Deep Freeze”的产品来pipe理此function,以便自动清除configuration文件。 很多学校长期使用这种技术。 不幸的是,Windows 7打破了这一切。 我们不能再使用“复制configuration文件”function为工作站准备模板configuration文件。 组策略可以用来设置机器,这是处理这个问题的官方方法。 不幸的是,这不起作用,有两个原因。 首先是组策略是不是在友好的设置configuration文件的调整。 我们不能快速地改变我们想做的事情,有些事情只能在运行sysprep之前完成(这将需要更频繁地重新映像整个操作系统)。 结果是,我们最终得到的是不太精美的桌面体验。 我们可以在第一个问题上咬牙切齿,但是第二个问题是所有的组策略设置在与Deep Freeze结合使用时会导致令人难以置信的login时间,因为您必须重新应用几乎所有的GP调整login。 Windows 7在XP(即UAC)上的安全特性得到了改进,使我可以放心地学习一个没有Deep Freeze的学期,只不过在每个学期结束时,每台机器上仍然会有数百个用户configuration文件账号,那就是在投入更多的工作来制定组策略来产生减less的结果。 那么有没有更好的方法来解决这个问题的build议? 我们希望做一些事情,比如将文档库映射到networking共享,设置默认壁纸,在IE和Safari中为书签工具栏添加特定的快捷方式(我们部署了Safari浏览器,因为我们有1:1的iPod Touch程序,同样需要iTunes)以及对这些公共工作站的许多其他调整。 我们希望能够快速完成这项工作,在这里我们可以获得有关更改结果的良好反馈,而且我们需要这样做,以便数以百计的用户可以使用其Active Directory凭据login。 我们在过去的漫游configuration文件path,这也不是一个很好的select。 目前我们的域控制器仍在运行Server 2003,我们宁愿使用CloneZilla而不是sysprep来处理机器的映像。 我也不愿意使用组策略作为工作stream程的一部分。 当我们可以使用模板configuration文件时,如果您发现想要更改的内容,则只需以正确的用户身份login,然后进行更改,注销,并在下次更新计算机时应用更改。 现在我们必须搜寻正确的GP设置,如果它存在的话。 完成曾经是五分钟的事情可能需要一个多小时。
背景 我尝试在Active Directory中移动一个OU,并收到Access is denied错误。 在进一步检查我的AD用户帐户之后,我有必要的权限来移动对象(我已经对我正在使用的一组OU进行了全面的许可),并且在我的IT职业生涯中,我已经在AD中多次移动了项目; 这也让我有点奇怪,现在我第一次遇到了这个问题,但是还是有点奇怪。 我试过了 我个人的AD用户帐户权限给予特定的OU而不仅仅是AD安全组,我是已经获得了OU许可的一部分 使用域pipe理员帐户来尝试移动 重置我的用户帐户密码,然后注销并打开AD并移动OU 尝试连接到不同的域控制器,并执行移动 尝试通过安装了RSAT的不同服务器连接到AD,然后执行此步骤 所有这些都没有成功。 问题 为什么我在两个OU都有完全权限的情况下不能将Active Directory中的OU移到另一个OU?