Questions tagged «active-directory»

想要改善这篇文章吗？提供此问题的详细答案，包括引文和答案正确的解释。答案不够详细的答案可能会被编辑或删除。 请注意，我确实知道答案，并在下面提供了答案。我看到许多较新的系统管理员不理解我的回答的内容，因此我希望所有初学者的AD DNS问题都可以作为本课程的副本而关闭。如果您有较小的改进，请随时编辑我的答案。如果您可以提供更全面的完整答案，请随时留下。 DNS与Active Directory有何关系？我应注意哪些常见配置？

23 domain-name-system  active-directory 

我希望在Active Directory的某处写入/存储“从[计算机]上次登录”，或者有可以解析的日志？ 想要了解最后一台登录的PC的目的是为了通过网络提供远程支持-我们的用户很少移动，但是我想知道当天早上我正在咨询的内容正在更新（当他们登录时） ，大概）。 我还在考虑将用户名和计算机名写到我可以参考的已知位置的登录脚本，但是我们的某些用户不希望一次注销15天。 如果有一个使用登录脚本的优雅解决方案，请务必提及它-但是，如果碰巧它仅用于解锁工作站，那会更好！

23 active-directory  remote-access  user-management  security  logon-scripts 

我遇到了一个反复出现的DNS问题，该问题困扰我们的用户，有时会导致他们的笔记本电脑将我们的公司域附加到所有DNS查询的末尾。仅当用户不在现场时，才会出现此问题，并且看起来是相当随机的。它将工作一天，然后突然显示无效条目。这主要影响Windows XP用户，但最近也出现在Vista中。这是使用nslookup的示例。 C:\Users\Username>nslookup www.yahoo.com Server: Linksys Address: 192.168.0.1 Non-authoritative answer: Name: www.yahoo.com.EXAMPLE.COM Address: 192.0.2.99 我用占位符替换了报告的IP地址，但是我可以告诉您它返回的是*.我们网络解决方案配置中的默认条目。因为显然www.yahoo.com.EXAMPLE.COM不存在，所以这是有道理的。我相信用户的内部设备运行正常。在内部，我们运行Windows 2k3 Active Directory（带有基于Windows的DHCP和DNS服务器）。最终，问题通常会在几个小时或多次重新启动后才能解决。 有人见过这种行为吗？

23 windows  networking  domain-name-system  active-directory 

我的新雇主为数百名用户提供了文件夹重定向设置，而设置该文件夹的人并不真正知道他在做什么。结果，未遵循有关重定向文件夹/主目录权限的最佳实践。 让人们访问其重定向文件夹位置的解决方案是改为将Full Control权限（当然是NTFS权限，而不是“共享”权限）应用于Everyone根目录（“主目录”），并将其传播到根目录下的所有子文件夹和文件。 。 可能出什么问题了吧？这并不是说CEO的My Documents文件夹中有机密信息，也不是每个人都会感染CryptoWall并加密其他人的文件。对？ 因此，无论如何，既然已经消除了CryptoWall感染并恢复了备份，许多人希望我们用不太可怕的方式替换当前的权限，而我不想不必在几个对话框中单击权限对话框。一百个文件夹。 PowerShell如何为我解决这个问题，并使生活值得重新生活？

22 windows  active-directory  powershell  folder-redirection  home-directory 

我在高等教育方面做了大量工作，在一个特定的课程或活动期间，重新配置许多Windows域成员（例如，教室中的PC）是一个相当普遍的要求，然后取消此配置。 由于我们要求执行的大多数配置更改都可以通过组策略对象完成，并且当在OU级别取消链接或禁用GPO时，这些更改会自动撤消，这是一条非常舒适的方法。 唯一的缺点是，在OU上重复手动链接和取消链接GPO会在课程开始之前和结束之后需要大量提醒和IT人员值班-这是操作团队无法始终保证的。 有没有一种方法可以为特定GPO的有效性指定时间范围？

22 active-directory  group-policy 

在IIS中是否可以在IIS中设置站点，而只允许某个AD组的用户访问该站点？

22 active-directory  iis-7  permissions 

对于一个（非常）小的公司，将Windows服务器与AD一起使用会显得过高-为什么不将它用作文件/打印服务器，管理服务器，可以通过该服务器通过远程桌面访问网络上的所有计算机以进行管理？也用于保存网络上所有PC的磁盘映像... 这家小公司有三名主要的办公室员工，一些文职人员（一打），周围散布着十二台计算机。三名主要人员负责该业务，并且可以使用具有授权（只读等）的良好共享归档系统。第二层可能是四名员工，他们使用几个Web服务并在Web上进行一些研究。其余的仅使用特定网站（使用K9限制访问）。 一些应用程序在专用的Windows XP计算机上运行，​​该计算机运行一个应用程序（一次一个客户端）以控制安全性（门等）。 现在，通过一个简单的工作组和一个充当婴儿文件服务器的Windows 7工作站，它们可以很好地工作。

22 windows-server-2008  active-directory 

当我准备开始Windows管理的演示文稿时，我被一个令我惊讶的问题感到惊讶，我没再提过。 我知道： 逻辑上在站点中设置了AD，以帮助复制并减少客户端计算机和域服务之间域所需通信的延迟。 站点由应用于它们的子网定义 _msdcs子域包含用于常规查找（_tcp）和特定于站点的查找（_sites）的SRV记录的层次结构 计算机以某种方式知道它们所处的站点，或者域控制器以某种神奇的DNS方式透明地做出决定...或者是吗？ 该博客文章暗示，AD网络中的客户端计算机可以“知道”它们属于哪个站点。我的问题是，如果是这样，他们如何找到答案？ 如果客户端本身不知道，那么DC在选择与该客户端计算机最接近的AD服务的过程中如何帮助计算机？

21 windows  active-directory 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 3年前关闭。 在对Server 2003 R2域控制器重新分区时，我们意外删除了包含Active Directory数据库文件夹（D:\AD\Data）的分区。的D:\是与共享的磁盘上的一个分区C:\。 我们消除了该D:\驱动器，但没有意识到它包含Active Directory数据文件夹。我们没有其他域控制器，也没有此Active Directory数据的备份。 是否有恢复广告的机会？

20 active-directory  windows-server-2003-r2 

我正在使用带有PowerShell v2.0的Windows 7工作站进行工作，并尝试从启用LostAndFound了Active Directory回收站的2008 R2 FL林和域中的容器中删除特定（孤立的）对象，但没有运气用什么。 重要的是，我需要删除该对象，并且仅删除该对象（而不是删除具有该IsDeleted属性的每个对象，这似乎是我可以找到的全部帮助）。 我需要删除它，因为为了解决断开的信任关系，计算机已与域断开连接（大概是导致对象先进入回收站，然后再进入LostAndFound容器），并且我们想给它其原始名称返回（基于PC上的资产标签号）。尝试将计算机重新加入具有正确名称的域失败，并显示以下错误消息（The specified account does not exist） 并尝试将其重命名为正确的名称后，该操作失败，并显示以下错误消息（The account already exists） 因此实际的PC当前坐在那里的名称不正确，我需要纠正该名称。 但是，尝试删除此AD对象会产生错误：The specified account does not exist。该对象的可分辨名称中包含一个\（反斜杠）字符，我认为这是由于它位于LostAndFound容器中，我想知道这是否是问题所在……以及如何修复它。我将外壳程序运行为domain admin，验证了该domain admins组对相关对象具有完全控制权和所有权，并且似乎无法弄清楚该对象。 有问题的对象（已编辑） Get-ADObject "CN=SomeComputer\0ADEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv" -IncludeDeletedObjects -Properties * accountExpires : 9223372036854775807 CanonicalName : MyEmployer.prv/LostAndFound/SomeComputer DEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6 CN : SomeComputer DEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6 codePage : 0 countryCode : 0 Created …

20 windows  active-directory  powershell 

当我激活Advanced features（View-> Advanced Features）并通过导航到用户的OU并右键单击用户对象来打开用户的属性时，我会看到Attribute Editor选项卡。 但是，如果我搜索用户（右键单击域-> Find->搜索用户），然后双击该用户，则看不到该选项卡。 我通常无法导航到用户，因为某些OU的用户过多。有人可以建议我查看该Attribute Editor标签的替代方法吗？

20 windows-server-2008  active-directory  windows 

假设在域中至少有两个域控制器作为开始，那么域控制器崩溃后需要采取哪些步骤使Active Directory运行正常？

20 active-directory  domain-controller 

用户无法连接到互联网，某些站点无法正常工作。 我认为这与网络设备无关，但以防万一。 2个防火墙，Palo-Alto 4 Cisco Nexus 55XXT交换机 自大约10天前的上周以来，我们没有进行任何网络更改，一切运行正常。 我唯一能看到的就是，如果我对有问题的计算机执行ping操作，它将解析为与该计算机实际拥有的IP不同的IP 在最后一天，我们每小时收到多个有关IP冲突2的网络警报。 这仅影响2个用户 从其中一台PC出现问题： C:\>ipconfig | find "IPv4" IPv4 Address. . . . . . . . . . . : 12.43.168.248 C:\>hostname hostname-18 从其他机器ping通。 C:\>ping hostname-18 Pinging hostname-18.domain.com [12.43.168.105] with 32 bytes 来自不同机器的Nslookup。 C:\>nslookup 12.43.168.105 Server: ad-server.domain.com Address: 12.43.168.83 Name: hostname-18.domain.com …

19 active-directory  internal-dns  nslookup 

我有一个.net Web应用程序，该应用程序需要获取用户是Active Directory成员的组。 为此，我正在用户记录上使用memberOf属性。 我需要知道在所有用户记录上读取此属性所需的权限。 目前，当我尝试读取此属性时，结果不一致。例如，我在同一OU路径中有30个用户的用户组。使用我自己的凭据查询AD-我可以读取某些用户的memberOf属性，而不能读取其他用户的memberOf属性。我知道所有用户都设置了memberOf属性，就像我使用域管理员帐户登录时所检查的那样。

19 active-directory  ldap 

我正在评估将组织迁移到Mercurial的可能性，但是我在两个基本要求上绊脚石，而我找不到合适的指示。 如何设置Mercurial的中央存储库，以使用中央Active Directory对用户进行身份验证，并且仅在具有正确凭据的情况下才允许他们推送或拉出用户？ 如何设置Mercurial项目存储库，以仅允许属于特定组的用户推/拉源代码？我们需要有每个项目的授权。 在哪两个HTTP服务器（IIS或Apache等）上支持上述两个要求？ 如果我要提出明显的要求或缺少有关身份验证和授权工作原理的基本知识，我们深表歉意。

19 active-directory  authentication  ldap  mercurial