这与这个问题有关: 域pipe理员组拒绝访问d:驱动器 我有一个全新的AD实验室环境中的成员服务器。 我有一个Active Directory用户ADMIN01是Domain Admins组的成员 Domain Admins全局组是成员服务器的本地Administrators组的成员 服务器成为域成员后添加的新的D:驱动器的根目录上configuration了以下权限: 每个人 – 特殊权限 – 仅此文件夹 遍历文件夹/执行文件 列出文件夹/读取数据 阅读属性 阅读扩展属性 创build者所有者 – 特殊权限 – 仅限子文件夹和文件 完全控制 SYSTEM – 这个文件夹,子文件夹和文件 完全控制 pipe理员 – 这个文件夹,子文件夹和文件 完全控制 在上面的ACL下,域用户ADMIN01可以login和访问D:驱动器,创build文件夹和文件,一切都很好。 如果我从该驱动器的根目录中删除Everyone权限,那么属于Domain Admins (例如ADMIN01 )组的非内置用户将无法再访问该驱动器。 域Administrator帐户是好的。 本地计算机Administrator和Domain Admin “pipe理员”帐户仍然可以完全访问该驱动器,但任何已添加到Domain Admins “常规”用户都将被拒绝访问。 无论是否创build卷并删除了以本地计算机Administrator身份login的Everyone权限,还是以Domain Admin “pipe理员”帐户执行login,都会发生这种情况。 正如我上一个问题所述,解决方法是在成员服务器上本地或通过域GPO禁用“用户帐户控制:在pipe理员批准模式下运行所有pipe理员”策略。 为什么从D:的ACL中删除Everyone帐户对于被授予Domain Admins成员资格的非内置用户会导致此问题? 此外,为什么不提供这些types的非内置的Domain Admin用户提升他们的权限,而不是仅仅拒绝访问驱动器?
我已经偶然发现了Windows机器的一个奇怪的行为,从Vista / 2008到8.1 / 2012 R2的所有Windows版本之间似乎相当一致; 使用Windows XP或Windows Server 2003时不会发生这种情况。 问题是这样的:当networking适配器configuration为DHCP并且DHCP服务器没有代表其客户端注册DNSlogging(因为它不能,或者因为它没有configuration这样做),那么转发Alogging获得注册,但反向PTRlogging不 。 一些更多细节: 正向和反向DNS区域都是AD集成的,并接受dynamic更新。 所有计算机都join到域中。 所有计算机都使用正确的内部DNS服务器,无论是静态configuration还是从DHCP获取其configuration。 在networking适配器中启用“在DNS中注册此连接的地址”。 当一台电脑有一个静态的IP地址时,一切都很好; 正向和反向logging都会自动注册。 当同一台计算机configuration为DHCP时,正向logging被注册,但反向logging不是。 这发生在OS版本大于等于6.0的所有计算机上,而且与单台计算机无关。 没有任何数量的ipconfig /registerdns会改变任何东西。 没有错误logging在任何地方。 为什么会发生这种情况,如何解决? 不,configurationDHCP服务器进行DNS注册不是一个选项。
我正在寻找一个好的开源替代活动目录,可以处理: 授权/authentication 组策略 复制和信任监视 另外,那里是否有统一的系统来处理这些责任呢? 编辑:由于很多人已经要求更多的细节,我试图提供一个服务,为组织设置一个基础架构,硬件/软件设置,现在我正在看一个Linux堆栈,桌面和服务器,但是一个混合堆栈是可能的,我正在调查的替代品。
我正在设置一个testing环境,Linux(Ubuntu 10.04)客户端将对Windows Server 2008 R2域服务器进行身份validation。 我正在按照官方的Ubuntu指南在这里build立一个Kerberos客户端: https : //help.ubuntu.com/community/Samba/Kerberos ,但是在运行kinit命令连接到域服务器时遇到了问题。 我正在运行的命令是: kinit [email protected] 。 此命令返回以下错误: Realm not local to KDC while getting initial credentials 。 不幸的是,我找不到任何人通过谷歌search,经历了这个确切的错误,所以我不知道这是什么意思。 客户端能够ping服务器的主机名,所以DNS服务器指向域服务器。 以下是我的krb5.conf文件: [libdefaults] default = DS.DOMAIN.COM dns_lookup_realm = true dns_lookup_kdc true [realms] DS.DOMAIN.COM = { kdc = ds.domain.com:88 admin_server = ds.domain.com default_domain = domain.com } [domain_realm] .domain.com = DS.DOMAIN.COM […]
本周六晚上,我们将用Windows Server 2008 R2域控制器/ DNS服务器replace现有的Windows Server 2003域控制器/ DNS服务器。 当前的森林和域function级别是Windows Server 2003,而且我已经在现有模式操作主机上的W2K8R2介质上运行了adprep / forestprep和adprep / domainprep / gprep。 我还在新服务器上安装了AD DS位,但尚未运行DCPROMO。 我们的AD DNS区域是AD集成的。 有没有什么理由不去更进一步,通过运行DCPROMO来“预备”新的服务器呢? 直到这个星期六的晚上,我们不会对他们进行切割,但是在那之前我们没有看到任何伤害。
我们正在build立一个夏季假期后使用的训练环境。 pipe理层希望我们现在在假期前成立客户。 由于客户将被运走,他们将脱机,直到培训开始。 这意味着客户将会与公元15周左右脱节。 此外,由于没有人会在这里,服务器将closures大约六至八个星期。 墓碑寿命设置为180天。 这15周的时间能给客户带来什么问题吗? 我们是否应该试图说服pipe理层把客户端安装推迟到度假之后呢?
我有一些使用Windows Active Directory身份validation的Linux机器,工作得很好(Samba + Winbind)。 现在我想要做的只是允许某些人或某些组使用Active Directory凭据login。 目前,任何拥有有效AD帐户的人都可以login。 我想限制这只有几个小组。 这是可行的吗?
我不是Active Directory中的专家pipe理员,所以我需要一些帮助。 在我的工作中,我们用2008服务器操作系统购买了一台新的服务器。 旧的AD域控制器在2003服务器上运行。 这个想法是让2008服务器成为新的DC,2003服务器成为文件服务器。 将AD及其所有设置,成员,组,权利等移动到新服务器的最佳方式是什么? 你怎么从旧的AD设置删除? 先谢谢你。
我有一个运行Windows 2008 R2的小环境,域控制器上的DHCP服务每两周就会失败。 最明显的错误是Event ID 1059和事件查看器消息是: "The DHCP service failed to see a directory server for authorization." 该设置具有两个域控制器和通常的服务和angular色(文件,打印,交换)。 由于各种原因重新启动服务失败。 我在不同的时间收到以下消息: “没有足够的存储空间来完成此操作”。 “无法确定服务器192.168.xx的DHCP服务器版本” “DHCP服务检测到它在DC上运行,并且没有configuration用于DHCP服务启动的dynamicDNS注册的凭证。” 重新启动域控制器可解决问题约2周。 系统是虚拟化的,没有networking连接问题。 任何关于这里发生的事情的想法? 编辑 – 解决scheme似乎是修复一个行为不当的域控制器。
每当我运行 “ 组策略结果”向导并select“域控制器”作为目标计算机时,摘要将在“计算机configuration”下显示“应用组策略时的安全组成员身份”列表中的BUILTIN\Administrators ,如下所示: (域名,用户和计算机名称被遗漏) 由于域控制器不是pipe理员的成员(至less不是我能在ADUC中看到的),我的问题只是为什么? 域控制器实际上是pipe理员组的成员,还是GPResults错误(以及为什么)?