Questions tagged «active-directory»

我一直在建立需要活动目录帐户的研发环境。由于我们将这些环境放置在隔离的网络中，因此每个环境都需要其自己的活动目录。如何使用Powershell创建新的Active Directory帐户。

19 active-directory  powershell 

有没有办法从Linux更改Windows域密码？

19 linux  windows  active-directory  samba 

在最近与Outlook有关的事件之后，我想知道如何最有效地解决以下问题： 假定一个相当典型的中小型AD基础结构：几个DC，多个内部服务器和Windows客户端，几个使用AD和LDAP从DMZ内部进行用户身份验证的服务（SMTP中继，VPN，Citrix等）以及几个内部服务都依赖于AD进行身份验证（Exchange，SQL服务器，文件和打印服务器，终端服务服务器）。您拥有对所有系统的完全访问权限，但是它们太多了（计算客户端），因此无法单独进行检查。 现在假设由于某种未知的原因，每隔几分钟就会由于密码锁定策略而锁定一个（或多个）用户帐户。 找到负责此工作的服务/机器的最佳方法是什么？ 假设基础结构是纯净的，没有附加管理工具的标准Windows，并且默认值几乎没有变化，是否有任何方法可以加速或改善查找此类锁定原因的过程？ 如何针对这种帐户锁定DOS来提高系统的弹性？禁用帐户锁定是一个很明显的答案，但是您会遇到一个问题，即即使强制执行了复杂性，用户也有办法轻松利用密码。

18 windows  active-directory 

我正在使用Ubuntu 10.04 Server。

18 ubuntu  active-directory  samba  cifs  pam 

Windows Server 2008引入了只读域控制器，该域控制器接收域数据库的完整副本，但无法对其进行修改，就像旧的Windows NT BDC一样。 我知道如何运行这些半DC的所有技术知识（我刚刚通过70-646和70-647），但对于所有最重要的问题，我仍然没有明确的答案：为什么您应该使用它们？ TheCleaner的这篇评论确实为我总结了一下： @Massimo-是的，您是对的。您正在寻找建立RODC的令人信服的理由，但没有一个。它具有一些附加的安全功能，可帮助减轻分支机构的安全性，实际上，如果您那里没有DC，并且对它的安全性一无所知，则实际上仅需要将其部署在那里。 我一直在想……安全性有所提高，是的，可以肯定，但是绝对不是值得麻烦的地方。

18 windows-server-2008  active-directory  domain-controller 

在Windows XP上的Active Directory环境中-在命令行中给定用户名的情况下，我最简单的方法是从AD查询用户的电子邮件地址。 （假设我知道它通常在树中的位置）。 （我知道网络用户登录名 / domain，但我只想返回电子邮件地址元素。）

18 active-directory  email  command-line-interface  query  user-accounts 

管理员意外删除了错误的OU，并删除了多个帐户和计算机对象。未启用回收站可选功能。我们使用了sysinternals的adrestore来取回帐户。 为了确保此过程更轻松，下一次我们想启用回收站可选功能，该功能可按照指南和TechNet轻松使用Enable-ADOptionalFeaturePowerShell 轻松完成。 在PowerShell和上面的链接中都提到了以下内容。 在此版本的Windows Server 2008 R2中，启用Active Directory回收站的过程是不可逆的。在您的环境中启用Active Directory回收站后，无法将其禁用。 从理论上讲，我总是想让它保持启用状态，但是我一直犹豫，直到我了解即将发生的事情的含义。如果有的话，我只有一个域林。 启用此功能意味着什么？这必须与为什么默认情况下未启用它有关。

17 active-directory  windows-server-2008-r2 

（由于我的许多原始测试与新信息无关，因此重写了大部分问题） 我在使用Server 2012R2 DNS服务器时遇到问题。这些问题的最大副作用是Exchange电子邮件无法通过。在尝试A记录之前，请交换对AAAA记录的查询。当看到AAAA记录的SERVFAIL时，它甚至没有尝试A记录，而是放弃了。 对于某些域，当查询我的活动目录DNS服务器时，我得到SERVFAIL而不是NOERROR，没有结果。 我已经从运行DNS的几个不同的Server 2012R2域控制器中尝试过此操作。其中之一是一个完全独立的域，位于不同防火墙和Internet连接后面的不同网络上。 我知道导致此问题的两个地址是smtpgw1.gov.on.ca和mxmta.owm.bell.net 我一直dig在Linux机器上使用它进行测试（192.168.5.5是我的域控制器）： grant@linuxbox:~$ dig @192.168.5.5 smtpgw1.gov.on.ca -t AAAA ; <<>> DiG 9.9.5-3ubuntu0.5-Ubuntu <<>> @192.168.5.5 smtpgw1.gov.on.ca -t AAAA ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 56328 ;; flags: qr rd ra; QUERY: 1, …

17 domain-name-system  active-directory  mx-record 

我的公司网络上有Windows 7 PC（它是我们的Active Directory的成员）。一切正常，直到我打开与客户站点的VPN连接。 连接后，将无法访问网络上的共享，包括我们具有文件夹重定向策略的目录（例如“应用程序数据”）。可以想象，这使PC上的工作非常困难，因为桌面快捷方式停止工作，软件由于从其下面拉出“应用程序数据”而无法正常工作。 我们的网络被路由（10.58.5.0/24），其他本地子网位于10.58.0.0/16的范围内。远程网络位于192.168.0.0/24。 我已将问题归结为与DNS相关。打开VPN通道后，我所有的 DNS流量都会通过远程网络，这说明了本地资源的丢失，但是我的问题是，如何强制本地DNS查询转到我们的本地DNS服务器而不是我们的客户？ ipconfig /all未连接到VPN时的输出如下： Windows IP Configuration Host Name . . . . . . . . . . . . : 7k5xy4j Primary Dns Suffix . . . . . . . : mydomain.local Node Type . . . . . . . …

17 domain-name-system  active-directory  windows-7  vpn 

我最近发现了Active Directory的“ adminSDHolder”功能。我需要一种快速的方法来识别所有会受到它影响的用户，即一个转储用户帐户的脚本。

17 active-directory  powershell 

我想知道“域控制器”是什么意思，如何使系统成为“域控制器”，什么时候必须使系统成为DC？

17 windows  active-directory  domain-controller 

我正在使用Windows Server 2008 R2，并且在计算机ComputerA的“网络服务”帐户下运行Windows服务。该Windows服务希望访问共享文件夹（在另一台计算机ComputerB上），该共享文件夹将读取权限授予组GroupA。因此，我需要将ComputerA的计算机帐户添加到GroupA并重新启动ComputerA。 我的问题是：有没有一种方法可以让组成员身份立即生效而无需重新启动ComputerA？

17 windows  active-directory  groups 

我需要获取Active Directory安全组中一组帐户的最新密码更改，我觉得这是PowerShell应该擅长的事情。 现在，我已经在如何从正在查看的AD帐户读取pwdLastSet属性上了。甚至运行像这样的简单的东西： [adsi] "LDAP://cn=user1,ou=Staff,ou=User Accounts,dc=ramalamadingdong,dc=net" | Format-List * 给出pwdLastSet的结果，如下所示： pwdLastSet : {System.__ComObject} 我觉得我走错路了，那么什么是查询然后格式化pwdLastSet属性的输出（该值基于Windows Epoch而不是人类可读的）的最佳方式是什么？

17 active-directory  powershell 

我们有一个在不同网络中具有3个DC的域，我们想停用其中一个DC。 但是，我怀疑由于某些网络配置错误，其余两个DC无法在彼此之间正确复制。因此，我想确保在关闭陈旧的DC之后，剩下的两个将在彼此之间完美地复制。 我可以在两个DC之间执行ping操作，但没有任何问题，但是我怀疑复制可能是另外一回事了。 发布时repadmin /showrepl dc1，它将仅显示要删除的DC以前的复制状态。该安全没有列出DC。

16 active-directory  domain-controller  windows-server-2016 

我有Windows Server 2012 R2域。 昨天，计算机（正在运行Windows 10 Pro）的网络驱动器停止工作。 经过进一步调查（gpresult /h），似乎所有组策略对象均因故障而失败Inaccessible, Empty, or Disabled。 我已经确认所有GPO仍然存在，并且在（冗余和本地）域控制器上均已启用。此外，同一域和LAN上还有20台其他计算机，完全没有问题。 但是，我测试过的另一台计算机也出现了同样的问题！这是否意味着问题出在服务器上？ gpresult /r报告一个客户端从本地DC1获取GPO，另一个从DC2获取。因此，这不是与特定DC相关的问题。 gpupdate /force 修复任何问题（尽管它声称已应用了策略）。 我尝试删除本地策略的注册表项（按照本指南/superuser/379908/how-to-clear-or-remove-domain-applied-group-policy-settings-after-leaving-the -do）和重新启动-同样的问题。 我从Microsoft（https://support.microsoft.com/en-us/kb/2976965）找到了此支持页面，但是它声称它仅适用于Windows 7或更早版本的客户端。 我所有的机器（服务器和客户端）都运行64位版本，并且已完全更新。为确保确定，我已经重新启动了所有它们。

16 active-directory  group-policy  windows-server-2012-r2  windows-10