我想为我们的Windows 2003域实施更强大的密码策略。 我的问题是,当前现有的密码与新策略不匹配会发生什么情况:用户是否被阻止,提示更改密码,或者是否能像往常一样login,直到Windows要求他们更改密码下一个? 谢谢。
我需要一个PowerShell脚本,使用电子邮件地址获取login名。 我有一个用户的电子邮件地址的笔记。 我想获取域中用户的loginID和帐户信息。 任何人都可以帮助这个。 问候,Karthick。
我知道Exchange 2010可以在Windows 2003域中运行,但是我想在Windows 2008中运行它。但是我需要certificate它的正确性。 如果我只在Windows 2003活动目录中使用它,我会在Exchange 2010中丢失任何东西吗? (我将在Windows 2008 R2 64位上运行Exchange 2010。) 谢谢。 更新:我不问有关域控制器或在DC上运行Exchange。 我问我的Active Directory是否仅在2003年的水平,并且我在该域中运行Exchange(在我的2008服务器上),我会失去什么? 或者换句话说,如果我将Exchange 2010放在2008 R2域中,那么Exchange有什么优势,如果我只使用了Windows 2003域,那么我就没有这个优势。
我正在学习 – 但我一直想知道的是,在大公司中,IT部门将所有新员工都input到活动目录/创build交换邮箱,或者是否有一个允许人力资源/经理添加新的雇员? 我想我可以开发一些他们input个人信息的东西,并且推向所有必要的系统 – 但是我想知道是否有内置的方法 – 或者只是IT部门所做的一些事情? 编辑添加: 目前我得到一份新员工的信息,把它们放到所有系统(活动目录,考勤,交stream等)中,然后返回信息。 寻找一个更好的方法来完成这一点。 目前我们使用的系统是: 活动目录,Microsoft Exchange,QQest时间和考勤,以及MySQL,然后是mcafee SAS保护系统。 QQest已经集成了主动目录,但是即使使用它们,我也从来没有能够正常工作。 McAfee SAS刚刚发布了一个活动目录集成function,但是我听说它仍然存在缺陷,并且在尝试实施之前正在等待更新版本。 我正在计划使用活动目录作为mysql数据库的login信息,目前我们正在编写一个新版本的系统供其使用,但会在完成之前的某个时间。 谢谢。
我有一个旧的Windows NT域需要升级到Windows 2000/2003 Active Directory。 有一个PDC和两个BDC。 我的下一步应该是什么?
我正在将我们的活动目录环境从Windows 2000服务器迁移到新的Windows 2008 R2服务器。 我准备好了我们的Windows 2000域,并升级了架构,以便我可以将DCangular色添加到Windows 2008服务器。 我可以复制这两个服务器之间的变化,但我有一个问题复制sysvol目录到新的Windows 2008服务器。 我已经尝试通过停止ntfrs&netlogon服务强制复制,并在相应的服务器上的registry中设置D4&D2标志,并重新启动这两个服务。 ( http://support.microsoft.com/kb/315457 ) sysvol和netlogonnetworking共享都存在于Windows 2008服务器上。 我们使用绑定9作为我们的内部DNS,但是这两个服务器上都运行着dns。 Windows 2000服务器指向绑定9服务器的主要和本身的辅助。 Windows 2008服务器指向相同的绑定9服务器的主要和本身的辅助。 另请注意:我没有将任何模式angular色移到Windows 2008 R2服务器上。 当我在W2008服务器上运行“dcdiag”时,所有的testing都通过了,而且我只收到错误信息,说明事件日志中存在与GPO有关的问题: 组策略的处理失败。 Windows尝试从域控制器读取文件\ mydomain.com \ sysvol \ mydomain.com \ Policies {GUID已删除} \ gpt.ini,但未成功。 在解决此事件之前,可能不会应用组策略设置。 此问题可能是暂时的,可能是由以下一项或多项原因造成的:发生错误事件。 EventID:0x00000422 任何build议将不胜感激!!! -麦克风
我想知道在Linux下,用户通过Active Directoryauthentication的CIFS服务器挂载用户主目录的经验。 优选地,挂载将在login时完成,而不是在引导(或仅挂载/ home)上挂载每个主目录,并且将被Kerberos / SMBauthentication和授权。 到目前为止,我已经看了两个解决scheme: * Automount – NFS结转(目前在混合Solaris环境中)。 据说工作,但没有看到CIFS的用户目录挂载的例子,只有auto_direct。 而且不知道winbind与AD自动configuration(通过SFU或rfc2307) * pam_mount – 刚刚离开testing版,需要mount.cifs和umount.cifs的suid。 也不适用于SSH。 注销后还容易挂载目录。 每个人都有同样的问题? 你能提供任何陷阱或麻烦你遇到? 任何与FUSE或用户空间工具的经验?
上周我也提了一个类似的问题,现在我已经准备好向前迈进了,我只是为了确保我不把它搞砸 我inheritance了一个新的办公室,直到上个周末,当我升级他们有W2K域控制器。 他们现在是W2K3域控制器。 我试图添加一个W2k8 DC,并遇到了一些严重的问题,因为默认域控制器策略已经修改了W2k DC安全模板,该模板改变了registry和文件权限,并locking了W2k8依赖的多个服务。 这是我的build议,只是希望你告诉我,如果听起来不对, 在域上创build一个新的W2k8框 备份当前的DC 备份当前的GPO 通过删除导致问题的所有条目手动更改默认域控制器策略。 等30分钟 推广新的W2k8盒作为DC 复制 将所有FSMOangular色转移到W2k8框 降级所有较旧的DC(这似乎是必要的,因为它们仍然受不良GPO“影响”) 带上第二个DC 这对你来说似乎合乎逻辑吗? 似乎它会对我工作。
我试图做一些我认为不应该太复杂的修复。 我的最终目标是:我有一个AD OU中的某些用户需要在Office 365中使用某个许可证,而另一个OU中的不同用户则获得不同的许可证。 我想运行的命令是: Get-ADUser -Filter * -SearchBase "ou=test,dc=our,dc=domain,dc=edu" | Set-MsolUserLicense -AddLicenses ourorg:STANDARDWOFFPACK_IW_STUDENT 但失败的回应是: Set-MsolUserLicense : The input object cannot be bound because it did not contain the information required to bind all mandatory parameters: ObjectId At line:1 char:111 + Get-ADUser -Filter * -SearchBase "ou=Test students,ou=Students,dc=campus,dc=org,dc=edu" | Set-MsolUserLicense <<<< -AddLicenses nwcu:STANDARDWOFFPACK_IW_STUDENT 单独地,这两个命令都起作用。 我可以selectOU中的所有用户,也可以手动使用带-UserPrincipalName的Set-MsolUserLicense命令来授权单个用户。 这是因为Get-ADUser不像Set-MsolUserLicense所寻找的那样返回ObjectID? […]
Alias /students /var/www/students <Location /students> KrbServiceName HTTP KrbMethodNegotiate On KrbMethodK5Passwd On KrbSaveCredentials off KrbAuthRealms DOMAIN.LOCAL Krb5KeyTab /etc/httpd/keytab KrbAuthoritative off AuthType Kerberos AuthName "Please Login" AuthBasicProvider ldap AuthzLDAPAuthoritative on AuthLDAPURL "ldap://dc.domain.local:389/OU=Domain Users,DC=domain,DC=local?userPrincipalName?sub?(objectClass=*)" AuthLDAPBindDN "CN=ldapsearchuser,CN=Users,DC=domain,DC=local" AuthLDAPBindPassword ldapsearchuserpass require ldap-group CN=Students,CN=Users,DC=domain,DC=local require ldap-group CN=Staff,CN=Users,DC=domain,DC=local </Location> 这允许所有属于学生/职员AD组的成员的用户访问http:// intranetsite / students后面的页面,而不必指定login凭证,只要他们的IE / Firefoxconfiguration正确。 使用userPrincipalName而不是sAMAccountName,因为kerberos模块正在将用户名@ REALM传递给ldap模块。 现在我遇到了这样的问题,如果有人没有被授权,他们会得到: 需要授权此服务器无法validation您是否有权访问请求的文档。 要么提供了错误的凭据(例如错误的密码),要么您的浏览器不知道如何提供所需的凭据。 有谁知道如何让它popup一个用户名/密码对话框,以便他们可以尝试备用凭据? 获得授权失败后,我可以要求凭据的唯一方法是清除我的caching。 […]