Questions tagged «active-directory»

我管理的Windows域有数百个我不认识的计算机名称，我想先删除那些没有使用的旧计算机，然后再尝试查找那些名字不正确的计算机。 有什么办法可以查看机器上次登录网络的时间吗？通过dhcpd或用户登录事件或其他方式。

14 windows  active-directory 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 5年前关闭。 有人知道有任何有用的工具可以清除Server 2003域上的Active Directory吗？我想清理旧计算机等，并且希望使用免费工具。 我有很多我不知道的设备，我想在建立新的DC之前对其进行清洁。

14 windows-server-2003  active-directory  cleanup 

在安全性和可管理性方面-最佳实践是什么？ Web服务器应该 从Active Directory域添加和管理 要么 是否要与“资源服务器”活动目录分开的“网络服务器”工作组的一部分？ 不需要在Web服务器上有用户帐户，仅需要管理帐户（服务器管理，系统报告，内容部署等）。

14 iis  active-directory  web-server  windows 

我是PowerShell的新手，但是我一直在阅读手册并进行了一些练习。我的目标是在指定路径下列出所有安全组中的所有用户。我已经找到了方法： get-adgroup -Filter * -SearchBase "OU=Groups,DC=corp,DC=ourcompany,DC=Com" | %{Get-ADGroupMember $_.name} | ft name 但是问题是我看不到组名。我得到的只是一堆用户。如果有人可以告诉我如何在列出该组的所有成员之前显示该组的名称，那就太好了。谢谢。

14 active-directory  powershell  groups 

我正在寻找一个类似于Domain Admin的帐户，但是不能访问域控制器。换句话说，此帐户将对域中的任何客户端计算机具有完全的管理员权限，能够将计算机添加到域中，但对服务器的用户权限有限。 最终用户技术支持人员将使用此帐户。他们应该对客户端计算机具有完全的访问权限，以安装驱动程序，应用程序等...但是我不希望它们在服务器上。 虽然我可能可以通过政策自己解决问题，但可能会很混乱，所以我想问：解决这个问题的正确方法是什么？

14 security  active-directory 

我正在接管一个项目，本地域名是domain.com。他们也有一个位于domain.com的网站。 我一直将domain.local用于AD，并且想知道这是否是最佳实践，还是有没有这样做的原因？ 为domain.com运行内部nslookup确实会解析为正确的IP，并且rDNS记录已正确配置。 我想开始通过LDAP连接某些服务器和vCSA，并且想知道这是否可能开始引起问题？

13 domain-name-system  active-directory  windows-server-2012  reverse-dns 

我正在将本地AD域移至AWS，但我不确定做到这一点的最佳方法。 场景：我有2个本地域（.local和.net）。我要退休了，其中一个退休了。两者都被认为是生产性的，因为它们都被积极使用。在开始将所有内容从一个转移到另一个之前，我想将AD扩展到AWS。此外，我们最终希望离开数据中心。 选项1：启动2个EC2实例并将其配置为DC。这似乎是最简单的选择，但是却是最昂贵的选择（例如2 m4.xlarge机器每小时$ 0.99）。 选项2：使用AWS Directory Service（看起来很新）。问题在于它们不允许您将当前域扩展到该域。它们仅允许您创建一个全新的域。优点是它更便宜（我相信$ 0.40 / hr），并且可以为您配置所有内容。我想如果我采用这种方式，则需要与当前域建立信任关系。 是否有人对AWS目录服务有经验？我似乎在Internet上找不到关于比较这两种选择的任何信息。 如果有人可以选择比上面列出的2个更好的选择，我也想听听。 参考链接： 将本地域扩展到AWS： http : //docs.aws.amazon.com/quickstart/latest/active-directory-ds/scenario-2.html AWS Directory Service： http : //docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html 谢谢您的帮助！

13 active-directory  amazon-web-services  aws-directory-service 

我编写了这个简短的powershell脚本，将计算机重命名为MDT任务序列的一部分： Import-Module ActiveDirectory $AdminUsername = 'domain.com\administrator' $AdminPassword = 'password' | ConvertTo-SecureString -asPlainText -Force $cred = New-Object System.Management.Automation.PSCredential -ArgumentList $AdminUsername, $AdminPassword $Domain = Get-ADDomainController –DomainName domain.com -Discover -NextClosestSite $Site = $Domain.Site $DomainComputer = Get-WmiObject Win32_BIOS $Serial = $DomainComputer.SerialNumber $Computername = $Site + "-" + $Serial Rename-Computer -NewName $Computername -DomainCredential $cred MDT运行此任务时，它将以本地管理员身份运行。尝试加载AD模块时出现以下错误。 …

13 active-directory  powershell  mdt 

我需要将大约500个用户添加到AD中的OU 我已经编写了我需要的所有内容的脚本，但是，它给出了错误： the name provided is not a properly formed 这是脚本 New-ADUser -Name C080CAB1-9756-409F-914D-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true 我进行了几次测试以确认问题是什么： New-ADUser -Name "C080CAB1-9756-409F-914D-AE3971F67DE7" -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true New-ADUser -Name 'C080CAB1-9756-409F-914D-AE3971F67DE7' -Path "OU=Staging,DC=domain,DC=local" -accountPassword …

13 active-directory  powershell  windows-server-2012-r2 

我想得到一些意见 在网上找到了这篇文章，想知道是否值得关注 http://www.msserverpro.com/migrating-active-directory-domain-controller-from-windows-server-2003-sp2-to-windows-server-2008-r2/ 需要做的几件事。 1.将所有活动目录设置从旧的Server 2003服务器移至新的Server 2008R2。2 .使用csvde在新服务器上设置所有用户。 csvde -f output.csv -- on old server csvde -i -f output.csv -- on new server 任何建议将不胜感激。

13 windows-server-2008  windows-server-2003  active-directory 

尽管似乎有三个可用选项，其中之一实际上是安全的，但似乎只有两个可用选项将能够影响更改时未开机或移动且不在网络上的计算机在更改时。两者似乎都不是安全的选择。我知道的三个选项是： .vbs的启动脚本 使用组策略首选项的GPO Powershell脚本作为计划任务。 我拒绝了Powershell选项，因为我不知道如何有效地定位/迭代并消除已经更改的计算机，网络上的所有计算机以及对不必要的网络开销有什么影响，即使它可能是最佳的可用解决方案因为可以将密码本身存储在CipherSafe.NET（第三方解决方案）容器中，并将密码传递给脚本到目标计算机。我没有检查过Powershell是否可以从本地Windows计算机的凭据管理器中获取密码以在脚本中使用，或者是否可以在其中存储密码以供脚本使用。 .vbs脚本选项不安全，因为密码以明文形式存储在SYSVOL共享中，该共享可用于网络上的任何域计算机。想要找到后门并且带有一点Google知识的人，只要足够持久，就会找到该后门。 如以下MSDN注释所述，GPO选项也不安全：http : //code.msdn.microsoft.com/Solution-for-management-of-ae44e789 我正在寻找一种非第三方解决方案，我认为该解决方案应该可用或可以在正确的知识或指导下自行开发。

13 active-directory  group-policy  scripting  powershell  password-management 

我在一个拥有15个物理站点的组织中工作。公司总部有两个DC，它们之间承担着所有FSMO的角色。每个远程站点都有一个DC站点。 当我开始在这里工作时，未配置AD站点。我的问题是，如果我们在所有站点之间都具有高速WAN链接（超过10 MB），则通过配置它们可以获得什么？我知道登录速度会提高。但是，当WAN链接断开时，客户端仍然应该能够找到本地DC，对吗？

13 active-directory 

抱歉-我并不是Windows系统管理员，只是试图通过Java中的LDAP交互来解决问题。 我在distinguishedName中找到大量带有“ DEL：”的对象。这些孤立的项目正在等待垃圾回收吗？如何删除它们？我无法通过ADUC真正找到它们，但可以通过Java LDAP找到它们。

13 windows-server-2008  active-directory  ldap  domain-controller 

我正在监视广告日志，当有人修改广告对象时，我可以看到一条日志，但是该行仅提供了该组策略的GUID。 因此，给定组策略的GUID，是否可以获取gpmc.msc中显示的名称？（我的意思是使用LDAP协议来获取该信息）

13 windows-server-2008  active-directory 

我想使用bat文件在所有客户端中配置winrm。运行bat file winrm quickconfig命令后，提示您输入是/否。我不知道如何在批处理文件中回答“是”。

13 windows  active-directory  windows-server-2008-r2  winrm