我有一个要求来改变一大群人在Active Directory中的用户帐户的安全选项卡中的一些设置。 我需要授予每个人访问用户帐户的安全选项卡下的特定读取设置。 是否有更好的方法来pipe理这个,而不必进入Active Directory>视图>高级function>打开用户帐户>安全选项卡; 然后为每个用户的每个Permissions添加复选标记? 这也需要应用于向前移动的新用户账户。 编辑: 特定的权限是高级权限,而不仅仅是读取权限。 我需要添加身份validation用户才能够:读取帐户限制,阅读一般信息,阅读login信息,阅读组信息,阅读电话和邮件选项,阅读私人信息。 我试图设置一个新的OU。 但是我没有这些新的OU下的高级安全设置。
我在一家小公司工作,自从我大约8年前就从事技术支持工作(自那时以来,大部分时间都是软件工程师),所以我负责所有与计算机有关的事情。 我已经inheritance了当前的networking/服务器configuration。 我是Windows Server 2008的新手,请耐心等待。 我觉得有一个令人难以置信的简单的答案,我只是没有看到。 我们正在使用Windows 2008服务器标准,并试图通过远程桌面和使用数据库软件将新用户添加到远程服务器。 我已经在Active Directory中设置了用户,并将用户添加到RDS组,Domain Users组和Domain Admins组(因为其他可以正常login的用户都在该组中,但我宁愿不要这样做如果我可以避免它的用户在该组)。 当我以用户身份(在本地控制台或远程login)login时,根据我所知,什么样的加载看起来是Windows服务器pipe理器(或MMC)。 没有启动button,任务栏只有一个服务器pipe理器的快速启动button。 什么看起来像桌面上的图标,但他们都没有做任何事情。 右键单击“桌面”或任务栏不起作用。 如果我按下Ctrl-Alt-Del并select启动任务pipe理器来试图找出explorer.exe是否正在运行,那么一个窗口会闪烁,然后消失。 我GOOGLE了这个和search这个论坛和StackOverflow,看到类似的问题,但不一样。 基于这个链接,我猜explorer.exe不是启动 – 而是MMC /服务器pipe理器,但我不确定。 我觉得一定有一些设置的地方,我错过了,将允许explorer.exe启动和桌面显示。 以pipe理员身份login(本地和远程)都可以正常工作,并且还有其他用户(他们的ADconfiguration文件中的设置与我刚刚设置的新用户具有相同的设置)login无误。 本地用户中的唯一用户是pipe理员,而另外一个我现在不记得(我不在服务器位置),但是问题是当前没有任何用户login正常。
有一个我以前见过但尚未find解决scheme的问题,我有一个域中的多个AD站点在物理上分开,逻辑上由不同的子网和AD站点隔开。 在一个站点处于禁用状态后启用用户帐户,然后尝试login工作站(在该站点)时,将收到一条login消息,表明其帐户仍处于禁用状态。 当检查所有DC的本地DC状态时,用户已启用,但由于复制尚未发生,所有其他DC仍然被禁用。 启用用户input错误的密码进行testing显示不正确的密码事件是击中本地DC,也是该域的主DC(但不是在用户的网站),我还没有能够find正确的事件ID在Win2k8对于错误的密码尝试,所以我不能build议哪个DC不正确的pw请求源自。 所有子网都是正确的,本地DC上%systemroot \ debug \ netlogon.log没有错误,服务器返回正确的站点,工作站返回正确的站点,其login服务器是本地DC DFSpath返回到本地DFS主机,login后我看不到任何stream量到另一个DC。 Ping的域名也parsing到本地DC。 我们也设置DNS只指向本地DC。 有没有人有一个想法,为什么这个设置将需要一个比本地DC以外的一个DC来解锁账户? 用户想立即使用他们的帐户,所以这个解决scheme是非常有帮助的。 Win 7客户端,Win 2k8 r2服务器,2003多function网站configurationfunction域
请看底部的修改部分,原来的问题似乎有些复杂 我从我的客户的托pipe公司有一个基于云的虚拟机。 VM实例的唯一目的是面向公众面向ASP.net网站的客户端。 VM实例只安装了Windows Server 2008 R2,我安装了以下内容: IIS networking策略和访问服务器 MSSQL 2012 我能够远程桌面和远程连接到MSSQL,因为我通过托pipe公司控制面板防火墙打开了各自的防火墙端口。 最近,我注意到世界上有一组计算机有IP地址试图暴力Administrator和sa帐户。 我随后将这两个帐户都作为预防措施禁用,并且不打算重新启用它们。 然而,反复的蛮力继续这些帐户。 我试图设置在Windows服务器上的VPN访问,但不能得到它的工作。 我跟着教程: 这里 , 这里和这里 .. 当我尝试通过VPN连接时,我在事件查看器中注意到以下消息: 无法联系DHCP服务器。 自动专用IP地址169.254.xxx.xx将被分配给拨入客户端。 客户端可能无法访问networking上的资源。 这表示没有安装DHCP。 当我去安装DHCP时,我提供了很多选项,这是超出了我的。 所以,我的问题是 :因为我有一个工作的活动客户端ASP.net应用程序运行在具有固定IP(4x.2x.13x.xx)/ www.clientssite.com的VM实例上。 将安装DHCPangular色可能弄乱/取消活的网站? 将DHCP保持我的网站在IIS下工作,我可以创build一个像10.9.8.10到10.9.8.50范围内的DHCP的DHCP? 这是否可能解决我的VPN连接问题,这是最终的目标。 修订的问题 我有一个运行Windows Server 2008 R2的基于云的虚拟机。 专用IP地址 (来自我的托pipe公司)46.130.22.99 网关 IP:46.130.22.1 DNS :81.17.240.194 angular色安装 :应用程序服务器,Web服务器,networking策略和访问服务(只有路由和远程服务,远程访问服务和路由) 在Routing and Remote Services我添加了一个从46.130.22.5到46.130.22.9的静态地址池 当我尝试build立到服务器的VPN连接时,它只是停顿,然后显示一条消息说 错误800:由于尝试的VPN隧道失败,未build立远程连接。 还有什么我需要做的设置呢? SCREENSHOTS IPCONFIG输出 […]
我有一个运行5 x 2008(非R2)DC的2008级Windows域(在接下来的9-12个月内迁移到R2或可能2012的路线图上,但这个项目需要先工作),而我需要在安全事件日志中为集成了AD的Web过滤系统启用Kerberos身份validation服务事件。 显然,“Kerberos身份validation服务”审核设置是2008 R2的新增function,并不在2008 GPO界面中。 这篇TechNet文章似乎表明,我应该能够从2008 R2成员服务器启用“默认域控制器策略”上的设置,并将应用于2008服务器: 如果configuration了此策略设置,则会生成以下事件。 这些事件出现在运行Windows Server 2008 R2, Windows Server 2008 ,Windows 7或Windows Vista的计算机上。 事件ID事件消息 4768请求了Kerberos身份validation票证(TGT)。 4771 Kerberos预authentication失败。 4772 Kerberos身份validation票证请求失败。 但是,我已经试过了,我的5个DC中有4个应用了这个设置,但是其中一个没有在安全日志中logging审计事件。 2008年(非R2)服务器上有更好的方法吗? 有没有什么明显的可能会启用(或禁用)在这个古怪的DC,导致它不接受R2的设置? 任何其他想检查的东西? 在发生违规的DC事件日志中我没有看到任何exception。 任何想法或帮助表示赞赏。感谢您提供任何帮助。 编辑:这是一个链接到我以前的问题 ,我问如何启用此服务器上的这个设置2008年。这个问题变得陈旧,所以我问它的下一个逻辑扩展在这里。
我正在运行一个大约有50-60个用户的terminal服务器,并且每隔一段时间,服务器将从> 40%的使用率到100%。 我仔细看了一下,似乎每次发生这种情况时,一个或两个不同的用户似乎陷入了一个循环,最终使用<30%,其余用户最多只使用5%。 我们所使用的软件背后的公司是因为服务器硬件不足(这是一个运行在双核心设置上的虚拟机系统),对我来说听起来像BS! 我对这个级别的IT相当陌生,所以如果我错过了我的道歉。 我没有办法certificate这一点,但我相信增加更多的原始硬件能力不会对我有任何好处,因为这对我来说似乎是他们软件中的一个错误,并且会吸取尽可能多的(或者less)CPU。 所讨论的VM有4个vCPU内核和12 GB RAM,并且运行64位的Windows Server 2008 在此先感谢您的帮助! 注意:我在SO上发布了相同的问题,但被指向这个方向,以防万一,这里是链接到posthttps://stackoverflow.com/questions/17276602/termserver-cpu-at-100
Windows Server 2012 – 尝试使用DFS设置文件服务器 我有以下情况: 命名空间 : \\domain\resources 没有目标的文件夹 文件> \\domain\resources\files 目标文件夹 : 客户> \\domain\resources\files\clients 受限制> \\domain\resources\files\restricted 我想在以下级别创build一个驱动器映射 \\domain\resources\files\clients 我还希望\\domain\resources\files\restricted为\\domain\resources\files\clients一个文件夹。 所以最终结果将是\\domain\resources\files\clients\restricted点\\domain\resources\files\restricted 这个有可能? 或者我必须接受的事实,我将不得不看看映射\\domain\resources\files然后让人们更新各种文件中的链接? 我可以通过使用符号链接来实现这一点,但这不会被DFS复制,也需要每个服务器完成。 更新: 基本上我想符号链接限制到客户端文件夹。
我有Linux客户端连接到我的Windows Server 2008使用xfreerdp。 客户端有一个redirect到Windows服务器的文件夹,这工作正常。 我的问题是,如果有一种方法在Windows服务器上使tsclient文件夹为只读,以便用户可以从他们的Windows会话中复制和打开PDF文档,但不能删除或复制到文件夹。 编辑: 我能想到的最好的就是在linux客户端上做这个, mkdir $HOME/foo mount –bind /foo /foo-share; mount -o remount,ro /foo-share
我正在使用一个我在网上find的powershell脚本,试图使用win7 cpu通过RSAT远程更改Windows Server 2008上的密码。 现在,服务器2008和win7是虚拟机,win7 cpu是服务器,可以正确运行PowerShell的Active Directory模块。 我对PowerShell和处理服务器相当陌生(这个项目是我的实习培训),而且在编译这个脚本的时候遇到了一个错误。 import-Module ActiveDirectory Function Set-AdUserPwd { Param( [string]$user, [string]$pwd ) #end param $oUser = [adsi]"LDAP://$user" $ouser.psbase.invoke("SetPassword",$pwd) $ouser.psbase.CommitChanges() } # end function Set-AdUserPwd Set-AdUserPwd -user "cn=test,ou=Users,dc=ifrit,dc=local" -pwd P@ssword1 Exception calling "Invoke" with "2" argument(s): "There is no such object on the server. " At line:10 char:25 + $ouser.psbase.invoke <<<< […]
我有一个Win2k8域控制器的问题,不得不重新启动它。 它重新启动没有问题,并达到了“按CTRL + DELlogin”屏幕。 因此,我使用pipe理域帐户进行了常规login,并开始应用组策略。 它处理映射驱动器和其他一些东西,然后达到打印机策略,然后卡住了一个多小时。 排除或中止应用组策略的正确方法是什么?