这里有一个PowerShell项目的年轻实习生。 我的目标是使用具有pipe理[域]权限的域计算机在我们的服务器中重置AD中的用户密码。 为了做到这一点,我安装了Vmware,并在一定程度上设置了VM Server 2008(而不是R2)和虚拟机Win 7 CPU。 我不知道是否一切正确configuration,但我的Win7 CPU已经安装了RSAT工具,设置为远程处理,并正确连接到域。 我找不到在powershell中重置密码的任何命令(2008 R2除外)。 这是我可以导入的东西吗? 更新到R2,不幸的是,不是一个选项。 甚至有可能使用PowerShell来远程重置密码? 我不一定需要知道如何,只要有可能。 最后,如果这些是noob问题,这是我的第一个服务器设置,我有点失落:/ 多谢你们!
我们有一个由两个域控制器组成的Windows Server 2012 Active Directory基础结构。 绑定到Active Directory域的是Mac OS X Mavericks Server 10.9.3。 服务器运行configuration文件pipe理器和VPN服务。 我的Active Directory用户能够对configuration文件pipe理器进行身份validation,但不能对VPN进行身份validation。 我在其他论坛上发现了几个线程,报告类似的问题,这里只是众多参考文献之一: https : //discussions.apple.com/thread/5174619 看起来这个问题与CHAP身份validation失败有关。 任何人都可以build议下一步的故障排除步骤, 有没有一种方法来放宽authentication机制,包括MS-CHAPv2? 这里是从日志的交易摘录。 请注意,该域名已被更改为example.com。 Jun 6 15:25:03 profile-manager.example.com vpnd[10317]: Incoming call… Address given to client = 192.168.55.217 Jun 6 15:25:03 profile-manager.example.com pppd[10677]: publish_entry SCDSet() failed: Success! Jun 6 15:25:03 — last message repeated 2 times […]
后来我设置了一个DFS命名空间\\my.dom.com\somecrap 。 它的工作很好,但我总是注意到一些让我困惑的事情,我从来没有问过这个问题。 当我浏览到\\my.dom.com ,看起来我连接到一个随机DC。 通过ping my.dom.com我可以确认什么是DC。 解决的IP将是我连接的DC的IP。 这是有道理的,因为我的域中有一个主机logging,指向每个域控制器(与父文件夹相同),这将是我的域名。 我相信这是应该的。 但有趣的是,当我浏览到\\my.dom.com (应该与\\DC_currently_resolving_my.dom.com相同)时,我发现服务器上的共享文件夹是空的,但是我的DFS命名空间按预期工作。 因此,例如:我浏览到\\my.dom.com ping my.dom.com并获取1.1.1.1浏览到\\1.1.1.1或\\DC's_Hostname我看到相同的共享文件夹,所以我知道我' m连接到同一台服务器当我查看\\my.dom.com中的共享文件夹时,它们是空的当我查看\\1.1.1.1中的共享文件夹时,它们中有文件 而当我尝试创build或复制文件到\\my.dom.com的共享文件夹更是\\my.dom.com我得到这个错误: 这里发生了什么? 编辑:根据下面的iPath的问题,这里是常规共享和DFS命名空间的属性框并排。 正常份额在左边。 有趣的是,当我浏览到\ Specific_Server vs \ my.dom.com时,常规的共享还缺less安全选项卡
我正在做一个涉及安全\恶意软件testing的课程,因此希望将我的实验室隔离到他们自己的networking,而不需要路由到主站点。 我希望能够在主networking上的主DC上设置策略,创build用户等等。 防火墙具有路由,使得主networking可以访问两个实验室networking,但实验室networking除非相关build立,否则不能与主networking通信。 我不是一个大窗户的人,所以我需要一点点的指导。 拓扑结构如下 我没有足够的代表张贴图像,所以请参阅拓扑 我预见到以下问题: 实验室DC不能使用主DC作为DNS服务器或LDAP服务器,因为实验DC不能与主DC进行大部分通话。 各个实验室中的PC可以使用各自的DC作为DNS服务器。 主要的区议会可以把政策“推”到其他区议会,但是对于其他区议会上面的议题,不能从主要区议会抽取任何东西。 我假设所有FSMOangular色都需要在主要DC上进行。 我怎么能DCPromo实验室DCs,如果他们不能使用主DC作为DNS服务器。 我试图达到甚至可能吗?
更改运行MS SQL 08的Windows Server 2008的域成员是否安全? 你有没有做过这个,你有没有遇到任何问题? 我担心可能会有某种域依赖性(帐户,权限),一旦服务器被移动到新的域中,会破坏某些服务。 任何反馈是欢迎的。
回到放学后的志愿者项目中,我们要添加一些用户必须点击的行为规则/用户规则的对话。 你怎么做到这一点? 什么是最简单的? 我们使用Active Directory的Windows Server 2003,所有的客户端都是XP。 学生们都有自己的账户,虽然偶尔使用这些设施的人有一些通用账户… 提前感谢任何想法/提示等。克里斯
据我所知,joinWindows AD计算机总是安全地识别/authentication之前DC(使用自动更改的计算机帐户密码)。 现在,我阅读(在非英文文章中)始终应该在AD中configurationIPSec。 为什么? 假设AD在互联网上很安全,甚至在公司严密的环境中没有互联网连接。 什么时候IPSec“必须”为AD? 顺便说一下,为什么总是需要AD计算机的安全authentication呢? 可以将DCconfiguration为不安全的计算机身份validation(例如,在小型开发/testing环境中)? ———- UPDATE1: 有了这个非常安全,非常灵活,非常简单的IPSec,怎么回到不安全的AD计算机? 我是否正确理解AD计算机的安全authentication是不可能的 工作组用户和AD用户帐户之间的单点login 在工作组Windows中使用AD用户帐户进行RunAs和二级login(反之亦然) 这是发展的屁股或小公司基础设施的痛苦。 这种灵活性没有多大意义(有IPSec)?
我正在使用需要内部DNS域重命名的站点。 它目前有一个DNS名称为domain.abc.com和NT名称的ABC 。 我试图findabctrading.com的DNS名称和abctrading.com NT名称。 拆分DNS将被使用。 该网站最初是从一台运行AD,文件,打印,DHCP和DNS服务的Windows 2000域控制器运行的。 环境中没有Exchange系统。 50台客户端PC都是Windows XP,less数用户使用漫游configuration文件。 所有用户都在单个OU中,并且没有组策略/ GPO。 我是一名Linux工程师,但一直试图引导另一组顾问进行更合适的设置。 在这个小组的帮助下,我们能够将单个Windows 2000系统移动到一组分离到域控制器和文件/打印系统(虚拟化)的Windows 2008 R2服务器中。 我们也在尝试为这个组合添加一个Exchange 2010系统。 Windows 2000服务器被降级,不再在图片中。 这是一个棘手的部分,因为客户希望域名重新命名,而且顾问不太清楚如何在没有另外的32-40小时的testing/实施的情况下通过它。 如果说没有完全隔离的testing环境,重命名的风险相当大。 但是,这个重命名必须在安装Exchange之前完成。 所以我们被困在这一点上。 我想知道在这一点上重命名域名涉及到什么。 我们在Windows Server 2008上。AD现在是健康的。 从Linux的背景来看,似乎应该有一个合理的途径。 此外,由于原来的域似乎是一个子/子域,这是否是一个问题在这里。 我会很感激任何指导。
我们的业务在我们的场所开设了一个新的业务部门,这个业务部门被认为是一个独立的实体。 但是,我们的一些用户将被“借调”给新的实体。 我想要做的是在虚拟机中运行一个新的Windows Server 2008域控制器,并在业务名称中build立自己的域。 我需要我们现有的域名信任新的域名,并允许这两个用户访问到新的域名。 但是,我不需要新域中的用户访问主域。 它不是一个真正的“孩子”领域; 它不是一个完全独立的域(所以不是child.domain.local,而是domain2.local)。 它将共享相同的networking(我将把它放在它自己的VLAN上),它将使用相同的资源,例如互联网连接,防火墙,路由器和现有的Exchange 2010基础设施等。 这只是一个虚拟机运行的问题,build立networking连接,然后做一个DCPROMO,并通过向导运行在现有森林中创build新的域名,我们走了吗? 我只是想再次检查,并确保我的想法是正确的,然后再继续前进。 任何我需要注意或计划,我失踪?
我有一个configuration为机器级安装的MSI,因为它是一个设备驱动程序。 我可以通过Active Directory和组策略部署它。 但是,在新引导的计算机上,用户可以在安装完成之前login,并且在事件日志中收到警告,表示无法完成,将在下次重新启动时尝试。 如何让login屏幕等待安装完成?