Windows Vista / 7更有趣的function之一是能够设置照片来代表您的用户。 这在独立安装中很好,但是有没有办法在Active Directory中设置照片,以便无论用户在域中login哪个位置,照片都是一致的?
我们有一个域帐户,通过2个服务器中的1个被locking。 内置的审计只能告诉我们很多(从SERVER1,SERVER2locking)。 帐户在5分钟内被locking,似乎每分钟约有1个请求。 我最初尝试运行procmon(从sysinternals)来查看是否有任何新的PROCESS START在我解锁帐户后产生。 没有可疑的事情出现。 在我的工作站上运行procmon并升级到UAC shell(conscent.exe)后,在尝试对AD进行authentication时(不确定), ntdll.dll和rpct4.dll似乎从堆栈中被调用。 有没有办法缩小哪个进程导致我们的DCauthentication请求? 它总是相同的DC,所以我们知道它必须是在该网站的服务器。 我可以尝试寻找wireshark的电话,但我不确定这将缩小哪个过程实际上触发它。 没有服务,驱动器映射或计划的任务正在使用该域帐户 – 所以它必须是具有存储域的信誉的东西。 在任何服务器(我们选中)都没有与该域帐户开放的RDP会话。 进一步说明 是,在问题DC上启用“成功/失败”login审计 – 在帐户实际被locking之前,不logging失败事件。 进一步挖掘显示,一旦帐户被解锁, LSASS.exe就会向有问题的DC发出KERBEROS呼叫。 它的前面(通常)是由java似乎被vpxd.exe调用,这是一个vCenter进程。 但是,当我看着另一个“server2”账户locking可以(也)发生时,我从来没有看到一个调用lsass.exe ,只有apache进程正在产生。 两者唯一的关系是SERVER2是SERVER1的vSphere集群(server1是vSphere OS)的一部分。 DC上的错误 所以,AD似乎所有我会告诉的是,这是一个预先authentication的Kerberos错误。 我查了一下,没有klist门票,为了以防万一。 仍然不知道是什么导致这个kerberos错误。 Index : 202500597 EntryType : FailureAudit InstanceId : 4771 Message : Kerberos pre-authentication failed. Account Information: Security ID: S-1-5-21-3381590919-2827822839-3002869273-5848 Account Name: USER Service Information: […]
在研究这个问题的问题时 ,我发现名为“Administrator”帐户的域中帐户的SID是: S-1-5-21-2025429265-492894223-1708537768-1124 这是错误的,因为真正的pipe理员SID结束在500 。 使用相同的域名密钥并寻找SID S-1-5-21-2025429265-492894223-1708537768-500什么也没有 – 内置的pipe理员帐户不在那里。 我不知道这是怎么发生的,而且我还在寻找,但是我非常确定,这个时间已经足够长了,我甚至没有一个可以恢复的备份来解决这个问题。 有没有人有任何想法如何把它的权利? 由于我所说的帐户显然不清楚,我的意思是在这个知识库文章的“原因”标题下的第二个项目符号中提到的帐户: http://support.microsoft.com/kb/248079 pipe理员帐户众所周知的安全标识符或SID(帐户名称可以重命名)
这是一个假设性的问题,但是我确信有人必须曾经遇到和/或给过一些想法。 情况:考虑到这一点,一个小企业正在运行一个Active Directory域,并有两个位于他们的办公室的域控制器。 域控制器都是物理服务器(无虚拟化)。 每天都在运行域控制器的系统状态备份。 该公司遭受了一场灾难(火灾或洪水),使其服务器无法修复。 该公司希望使用备份重build域控制器,但是无法获得相同品牌和型号的服务器(因为他们已经有几年了)。 这给他们带来了一个问题,因为Active Directory是作为“系统状态”的一部分进行备份的,这意味着它与原始硬件紧密耦合。 简介:除非小型企业能够在异地托pipe一台域控制器(为了防止损害其办公室的所有服务器的潜在灾难),否则至less必须对其一台域控制器进行虚拟化,以使恢复过程硬件不可知论者(因此不要求他们购买完全相同的服务器型号)。 你同意吗?
这是我的情况。 我有3个域控制器,ad1(10.0.0.1),ad2(10.0.0.2),ad3(10.0.0.3),我不知道如何configuration这些服务器上的DNS服务器。 我现在的configuration是: AD1 Primary DNS: 10.0.0.1 (itself) Secondary DNS: 10.0.0.2 (ad2) AD2 Primary DNS: 10.0.0.2 (itself) Secondary DNS: 10.0.0.1 (ad1) AD3 Primary DNS: 10.0.0.3 (itself) Secondary DNS: 10.0.0.1 (ad1) 这是正确的configuration? 复制能正常工作吗? 感谢您的任何build议。
最近,我在活动目录中添加了registry项,我需要通过组策略推送它们,而不是去每台PC应用新的。 如何通过组策略推送新的registry项(而不是修改现有的)? 注意:我正在使用Windows Server 2003 64位,并且我的客户端正在运行Windows XP Professional。
我正在运行一个Win2k8R2 DC域。 我有一个login脚本运行映射计算机的networking驱动器。 有些用户在电脑启动后立即login,login脚本没有机会运行。 有没有办法确保(可能通过组策略)在用户被允许login之前加载所有networking设置?
我有一个有两个DC的Active Directory域。 森林/域中的第一个DC是Server 2012,第二个是2008 R2。 第一个DC保存PDC模拟器angular色。 我偶尔会收到来自Time-Service源的警告,事件ID 50: The time service detected a time difference of greater than %1 milliseconds for %2 seconds. The time difference might be caused by synchronization with low-accuracy time sources or by suboptimal network conditions. The time service is no longer synchronized and cannot provide the time to other clients […]
我正在通过组策略部署Chrome。 这工作正常。 Chrome显然有一个相当规律的更新周期。 我不允许域用户安装Chrome更新。 订阅了发布博客,并下载/testing了新版本MSI,部署Chrome MSI的“正确”方式是什么? 例如:我是否使用内置的组策略MSI更新function? 我用新的覆盖MSI文件吗? 我是否删除该政策,并创build一个新的MSI链接到新的? 还是允许域用户自动执行Chrome更新? PS作为一个幽默撇开,如果这个问题被认为是投票,封闭或投票结束非build设性的,我可能会自杀。 你手上会有血。
有谁知道一种方式来[有效]让一个用户或组在一个森林中获得另一个森林中的域pipe理员组的权限? 将Domain Admins@OneForest添加到Domain Admins@OtherForest显然不是一种select,因为Domain Admins组是一个全局组(因此, 由于Global组的作用域,不能有其他林的成员) 。 您可以将Domain Admins@OneForest添加到Domain Admins@OneForest的域本地组中,但是不能将域本地组添加为Global(或Universal)组的成员,这似乎会导致死锁 -最终使用这种方法来解决问题。 我遇到了一些部分的解决方法(已经input了,我将把它作为解决问题的答案),问题是它提供了对域计算机的pipe理权限,而不是域本身 – 例如,它没有不允许跨林帐户编辑GPO。 我考虑过的另一种方法,基本上没有研究的运气是复制/克隆/复制Domain Admins组(但是作为一个域本地组,所以它可以接受来自另一个域的成员),但是我不能似乎find了这个克隆组需要什么权限的资源,以及哪些资源。 看到如何确定给定的Active Directory组的权限是不是一件容易的事情 ,我希望有一些关于内置和默认组拥有什么权限的微软文档,但是我能find的只是他们权限的描述 ,这对我尝试configuration另一个组进行配对没有帮助。 长的问题,有谁知道如何将一个森林的域pipe理员权限应用到另一个森林的帐户?