Questions tagged «active-directory»

构成LDAP目录服务的一项Microsoft技术,具有对多个Windows服务器和台式机的用户帐户,计算机帐户,组和配置管理进行集中管理的功能。

3
最低密码年龄的基本原理是什么?
我只是有一个用户无法在Windows 2008域上更改其密码。即使他确定自己选择的密码能够满足这些要求,这也给了他关于复杂性要求的神秘信息。我自己测试并确认。 我记得,微软建议的默认密码似乎是10天,而最近一次设置的密码是最近一次。 他问我一个很好的问题,我无法回答:为什么会有一个最小密码使用期限?这如何合理地使安全受益?他还指出,在这10天之内可能会发现他们的密码被盗,无法更改! 是否有任何合理的理由来强制设置最小密码使用期限?
1
在Active Directory中为计算机对象设置管理器字段会产生什么影响?
如果在Active Directory中为用户对象设置了Manager,它将在用户及其管理员之间建立明确的关系。除其他事项外,这在Exchange的全局地址列表中进行了报告。 对于组对象,如果启用了管理器,则Manager可以通过Outlook中的地址列表来编辑组的成员。 Active Directory中的计算机对象存在相同的Manager字段。这与任何地方的功能有关吗?
5
如何清除缓存的域凭据?
相关: 如何在Windows 7 / 2k8中通过无线启用域身份验证? 要测试我试图在上述问题中设置的通过无线连接的域登录,我需要一个尚未在本地系统上缓存其域凭据的帐户。不幸的是,我办公室里只有这么多人可以帮助我测试这一点,即使那样,我也不想打扰他们。因此,我希望能够在每次登录后清除自己的缓存凭据。 如何清除本地缓存,同时仍保留将来缓存凭据的功能?
3
Windows域控制器的云托管,可能吗?
我们目前在本地以专用硬件托管我们自己的域控制器(小型公司)。但是,为了减轻灾难,我们正在考虑使用虚拟化和云托管。 一个想法是 云中托管的虚拟主域控制器+在办公室中作为缓存运行的本地(辅助)虚拟化服务器? 这可能吗?还是我应该考虑其他事情?我们很乐意为体面的托管和灾难恢复付费,但这确实超出了我的经验。
2
如何将AD Explorer从Sysinternals连接到全局目录
我经常使用sysinternals AD Explorer来搜索和检查Active Directory,而没有任何大问题。 但是现在我不仅要连接到单个AD服务器。相反,我喜欢检查全局目录。 如果我在“ AD资源管理器连接”对话框中输入,仅提供全局目录服务的计算机的dns名称(例如dns.to.domain.controller),我将只收到它负责的具体域,而不是整个目录林(这是正常行为,是我期望的)。 如果我要以dns.to.domain.controller:3268的形式添加全局目录的默认端口号(3268),则AD Explorer将崩溃,而没有任何其他消息。 全局编录本身在给定名称和端口号下可以正常工作,导致我们的apache服务器恰好使用该地址和端口号来对某些用户进行身份验证。 因此,是否有任何提示或技巧可以从AD Explorer中访问全局目录? 或者还有其他不错的工具,例如AD Explorer,在访问全局目录时没有任何问题?
5
无法在Exchange 2010中授予“发送为”权限
我正在尝试向Exchange 2010中的一个用户授予“发送为”权限。这是我正在运行的Powershell命令: Add-ADPermission "User1" -User "Ourdomain\User2" -Extendedrights "Send As" Powershell返回此错误: Active Directory操作在DC.OurDomain.pri上失败。该错误不可重试。附加信息:拒绝访问。活动目录响应:00000005:SecErr:DSID-031521D0,问题4003(INSUFF_ACCESS_RIGHTS),数据0 + CategoryInfo:WriteError:(0:Int32)[Add-ADPermission],ADOperationException + FullyQualifiedErrorId:EDBB94A3,Microsoft.Exchange.Management.RecipientTasks。 AddADPermission 我已经尝试过Powershell命令的多种替代方法-即。使用-Identity等,但是与EMC向导都返回相同的错误。 我不确定“ INSUFF_ACCESS_RIGHTS”是指我正在运行命令的人还是授予我发送权限的用户? 我一直在关注Microsoft Technet的“管理邮箱的代理发送权限”网页:http : //technet.microsoft.com/zh-cn/library/bb676368.aspx 因此,添加了执行此操作所需的两个权限: 组织管理 收件人管理 但这无济于事。有任何想法吗? 更新资料 如果我执行以下操作: 使用“高级功能”视图打开“ AD用户和计算机” 转到用户1的属性 点击“安全”选项卡上的“高级” 选择“添加” 输入“ User2”并选择“发送为”允许 如果我关闭ADUaC并再次打开它,然后重新检查那些新权限,它们仍然存在,那行得通。如果我在大约10分钟后返回,这些权限现在就消失了-用户2根本不会出现在用户1的安全权限中。 不要以为我以前见过这种广告行为。
5
使用全局编录时,AD上的LDAP查询可以提供单个帐户的netbios域名吗?
我正在使用ADSI Edit查看AD中单个用户帐户的LDAP属性。我看到了诸如userPrincipalName之类的属性,但没有看到用于完全限定域名(FQDN)或netbios域名的属性。 我们将设置全局目录(GC),以使LDAP对多个域具有访问权限,并通过在应用程序中进行配置,我们将LDAP属性映射到应用程序中的用户配置文件属性。对于典型的AD,所有用户的FQDN和netbios域名都是相同的,但是在涉及GC的情况下,我们需要此附加信息。我们实际上只需要netbios域名(FQDN不够好)。 也许可以执行LDAP查询以从AD中更顶层的对象请求此信息?
1
Active Directory和Exchange体系结构问题
这是我们情况的背景... 现在,我们被设置为拥有三个完整的Active Directory和Exchange系统的三个不同的公司。三个办公室(美国一个办公室,欧洲两个办公室)通过三种方式的VPN设置连接(因此每个办公室都可以与其他两个办公室进行安全通信)。在Active Directory中,每种设置都有一个双向信任关系设置。所有系统都运行Server 2003和Exchange 2003。 公司和80个用户之间大约有160个邮箱(其他邮箱用于IT子系统,转发帐户或其他用途)。 两家公司正式合并在一起(而不仅仅是建立信任关系)。因此,我们正在研究一种组合的解决方案(基于新名称),其中每个办公室都位于同一系统(Exchange和Active Directory)上,并且整合了我们的IT基础结构(重复很多)。 他们聘请了一家外部公司来审核我们的IT基础架构。他们提出了正式建议,将IT基础架构外包(并猜测他们想提供什么服务)。 我的任务是弄清楚该怎么做。我已经考虑了很多,并且提出了两个选择。基本区别在于托管Exchange的位置(内部是外包的)。由于外包很容易理解,因此我将详细介绍内部设置。 由于需要高可用性,因此我们希望内置一些地理冗余。因此,我提出以下内容(我将办公室称为Site1,Site2和Site3): 网站1: FSMO Active Directory角色 Exchange邮箱角色-主要 Exchange客户端访问,集线器传输服务器角色 DFS文件共享角色(用于共享驱动器) 网站2: Active Directory角色-从Site1复制 Exchange邮箱角色-辅助角色,使用CCR复制进行复制 Exchange客户端访问,集线器传输服务器角色 DFS文件共享角色 Site3: Active Directory角色-从Site1复制 Exchange客户端访问,集线器传输服务器角色 文件共享见证(用于故障转移) DFS文件共享角色 因此,基本上,群集应该能够在不关闭任何其他站点(或任何系统)的情况下承受单个站点故障。如果出现双重站点故障,Exchange将完全停止。 因此,我的担忧如下: 这是合理的设置吗?还是我使事情复杂化了? 所需的服务器数(由于CCR邮箱角色必须是唯一安装的角色,因此每个站点上的服务器数量为3)。 它甚至可以汇总运行(如果站点或服务器出现故障,它将自动故障转移到可用节点)? 由于每个办公室都会为其用户指定一个本地客户端访问服务器,因此该服务器成为所有本地请求的单点故障(但这可以通过手动更改DNS来解决) 所有这些服务器是否都需要在同一IP子网中才能正常工作?还是我可以为其使用hiearchial DNS(clientaccess.site1.foo.com等)逃脱? 这将使我将每个办公室都设置为MX记录(因为每个办公室中都有集线器传输服务器以连接到互联网),因此,如果一个办公室出现故障,我们仍然应该能够在其他办公室中接收电子邮件,对吗? 可维护性。我担心从长远来看,此设置太复杂以至于无法维护(添加办公室,删除办公室,升级服务器(包括操作系统和硬件)等)。那是合理的恐惧吗? 现在,还有关于服务器2003还是2008的问题……如果我们使用内部Exchange路由,我想我可以说服升级到2008的能力(实际上,我们需要升级才能使用Exchange 2010) ...但是真的有必要还是只是我的“一个愿望”偷偷溜进了计划(而不是合理的升级)... 现在,我的一部分只想使用外包的Exchange,因为它可以缓解其中的一些问题(或大多数问题)。但是,在考虑成本之后,收支平衡点大约为1年,因此此后外包将变得更加昂贵。再加上我们依赖的某些功能可能无法外包(至少与我们所考察的公司合作)(例如,共享邮箱,包括SSO的Active Directory耦合,集中管理,数据安全性等)。所以我真的很想知道该去哪里... 这是我正在尝试的如此规模的第一个项目,因此任何帮助将不胜感激... 在此先感谢您(对这本书深表歉意)...
4
用于读取AD,将计算机加入域,删除计算机帐户并将计算机移至OU的帐户
我想创建一个将执行以下操作的帐户: 将计算机加入域(不限于10个域,就像普通用户一样) 检查广告中的计算机帐户 从AD删除计算机 在OU之间移动计算机 我不想让它做任何其他事情,所以不要域管理员帐户。 有人可以在权限方面引导我正确的方向吗?不知道我是否应该使用控制委派向导? 干杯, 本
4
您可以将计算机加入两个域吗?
我有一台打算在家里和工作中使用的新笔记本电脑。我碰巧在家里有一个带有活动目录的Windows Server安装程序,我想将笔记本电脑加入这两个域。这可能吗? 结果:我决定将其加入工作域。我绝对需要能够有时使用该域上的帐户登录Windows,而家庭网络要简单得多(主要是文件/打印共享,尽管功能更多)。我认为我可以通过手动身份验证所需的资源来在家中进行管理,甚至可以编写一些脚本。
6
组策略:特定计算机上特定用户的管理员权限
我是一名程序员,试图为一家小公司管理Active Directory设置。域控制器正在运行Windows Small Business Server 2008。 我们拥有使用平板电脑的现场工作人员;平板电脑的ThinkVantage bloatware的配置问题将要求这些用户在使用平板电脑时具有管理员权限。没关系–当我通过电话指导他们进行修复时,对他们来说具有广泛的特权很有用,因此我不在那儿寻找解决方法。 我想使用组策略来设置以下方案:登录到特定安全组(或组织单位)中的计算机时,特定安全组(或组织单位)中的用户应位于BUILTIN / Administrators组中。没关系,如果计算机必须位于OU中,但我希望按组分配用户。 当然,现场工作人员不应该是其他工作站上的管理员,而普通的办公室工作人员也不应该是平板电脑上的管理员。 目前,这是在每台平板电脑上本地管理的,但是随着我们增加新员工,它变得越来越麻烦。 我觉得受限制的群体是这里的答案,但是如果没有扎实的AD概念和方法基础,我很难实现它。 什么是执行此任务的适当技术,我将如何实施它?
13
什么是Active Directory的一些好的开源替代品?
已锁定。该问题及其答案被锁定,因为该问题是题外话,但具有历史意义。它目前不接受新的答案或互动。 我正在寻找一种可以处理活动目录的好开源替代品: 授权/认证 组策略 复制和信任监控 另外,是否有任何合并的系统可以处理这些职责? 编辑:由于很多人都要求提供更多详细信息,所以我试图提供一种服务来为组织,硬件/软件设置建立基础结构,现在我正在研究台式机和服务器的Linux堆栈,但是混合堆栈是可能,我正在研究替代方案。
4
在Windows域环境中使用Firefox?
是否有人在Windows域中成功使用Firefox 3?“成功”是指通过AD进行部署,通过GPO进行配置(尤其是设置network.automatic-ntlm-auth.trusted-uris),默认插件以及以某种方式管理更新。 我知道FrontMotion和Firefox ADM。看起来FrontMotion MSI安装程序和管理模板可以解决大多数问题。我不确定如何进行更新,但是...无需我手动更新MSI。 我对此也不太愿意使用第三者套餐。我并不担心FrontMotion会打包分发中的任何顽皮的东西,但我不希望不得不依靠它们及时进行重要更新等。 你们中的任何人是否在组织中成功地用Firefox替换了IE?您将其管理与台式机上的IE管理相提并论吗?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.