Questions tagged «active-directory»

我丢失了域控制器机器，然后添加了新的域控制器，但是有了新的域。如何使用命令行从旧域中删除网络计算机并添加到新域？使用Windows Server 2008 Core的计算机（仅命令行） net computer \\name del 仅适用于域控制器。 sconfig 当我尝试从旧域退出时，控制台会要求用户名和密码退出。我键入它，然后出现错误“无法连接到域”（旧的域控制器不存在） 该怎么办？

13 windows  active-directory  command-line-interface 

我还看到了与此有关的其他问题和文档，但是有些事情仍然使我感到困惑。以下是我看到的文档和问题： 淘汰失效的Windows 2003域控制器 从陪替氏手中夺取FSMO角色 使用NTDSUtil.exe将FSMO角色转移或占用到域控制器 -Microsoft知识库 在Active Directory域控制器上的FSMO放置和优化 -Microsoft知识库 域控制器降级失败后如何删除Active Directory中的数据 该环境包含两个Windows服务器和许多客户端。域控制器是运行Windows 2000 Native AD的Windows 2003 SP2。另一台服务器（根本不是DC）是Windows 2000 SP4（托管病毒检查实用程序）。 结果netdom query fsmo： Schema owner missing.office.local Domain role owner myself.office.local PDC role missing.office.local RID pool manager missing.office.local Infrastructure owner missing.office.local The command completed successfully. 结果dcdiag： Domain Controller Diagnosis Performing initial setup: …

13 windows-server-2003  active-directory  domain-controller 

我很受宠若惊，并一直使用eDirectory进行LDAP的大部分工作，eDirectory有一个名为DSTrace的实用程序，它非常可爱，特别是对于LDAP，它将向您显示所有的绑定尝试，源IP，传入的搜索，摘要返回的匹配对象。 在调试诸如SAP GRC之类的LDAP应用程序时，仅通过观察应用程序的执行情况，我就能够弄清楚该应用程序做错了什么。 我知道安全事件日志将包含一些此类信息（至少是绑定尝试），但是必须有更好的方法吗？有没有这样的功能？ 我看到一个问题“ 调试AD”已结束，但仅建议登录事件。我每天需要更多的资源来管理LDAP应用程序。

13 active-directory  ldap  trace 

我们让WSUS将更新发布到用户的工作站上，但一件令人烦恼的警告却使事情进展顺利：在某些用户面前显示一个弹出窗口，通知他们他们的计算机将在15分钟后重启，这似乎是一个问题。分钟，他们对此无话可说： 这可能是因为他们没有在前一天晚上注销。但是，这有点太多了，并且对我们的用户而言适得其反。 以下是有关我们的环境的信息：我们的用户正在运行，Windows XP Pro并且是的一部分Active Directory Domain。WSUS正在通过进行应用Group Policy。这是强制执行WSUS规则的GPO的快照： 这是我希望WSUS工作的方式（理想情况下-我会采取一切措施使我接近）： 我希望更新每晚自动下载并安装。如果用户未登录，我希望计算机重新启动。如果用户已登录，我希望他们的计算机不要重新启动，而要等到下一个“安装期”，在此期间它可以执行任何其他所需的安装，然后重新启动（前提是用户帐户仍未登录）。如果要提示用户重新启动，则该操作每天应该只发生一次（如果可能），但是每次提示时，他们都必须有一种方法来推迟重新启动。 我不希望用户在计算机认为应该发生的任何情况下都被迫重新启动计算机（除非是在安装更新之后并且没有登录的用户）。在一个人的工作日内强制系统重新启动似乎没有任何效果。 我可以用GPO做些什么来帮助降低WSUS的侵扰性？ 即使它为用户提供了“稍后重新启动”的选项-也会比现在发生的事情更好。 编辑 目标是能够每晚自动下载并安装更新，并且仅当要重新启动计算机时没有用户登录时才重新启动计算机。如果Windows必须就重新启动对用户造成困扰，那么这非常好-只要他们可以选择推迟重新启动。 编辑 事实证明，我们在某些更新（SP3，客户端扩展等）上设置了最后期限，并且在下面找到了该职位，从而为情况提供了一些启示： http://forums.techarena.in/server-update-service/255722.htm

13 windows-server-2008  active-directory  group-policy  wsus 

如何查找最近90天内创建的新Active Directory帐户？ 有谁知道该怎么做？我不知道。 提前致谢。

13 active-directory 

这一直困扰着我一段时间。 我们都知道Active Directory是LDAP数据库。 我们还知道，Windows DNS服务在域控制器上运行时可以将其数据存储在AD中，而不是在纯文本区域文件中存储，从而利用AD自动复制的优势并消除了对主DNS服务器和辅助DNS服务器的需求。 问题是：DNS数据实际存储在Active Directory中的什么位置以及如何存储？ 可以使用LDAP工具（例如ADSIEdit）访问它们吗？ 是否有任何DNS条目是实际的LDAP对象？ 对象中的属性？ 完全不同吗？

13 domain-name-system  active-directory  database  ldap  schema 

我正在建立一个测试平台环境，其中Linux（Ubuntu 10.04）客户端将向Windows Server 2008 R2域服务器进行身份验证。 我正在遵循官方的Ubuntu指南在此处设置Kerberos客户端：https : //help.ubuntu.com/community/Samba/Kerberos，但是在运行kinit用于连接到域服务器的命令时遇到了问题。 我正在运行的命令是：kinit Administrator@DS.DOMAIN.COM。此命令返回以下错误： Realm not local to KDC while getting initial credentials。不幸的是，我无法通过Google搜索找到其他遇到此确切错误的人，因此我不知道这意味着什么。 客户端能够ping服务器的主机名，因此DNS服务器指向域服务器。 以下是我的krb5.conf文件： [libdefaults] default = DS.DOMAIN.COM dns_lookup_realm = true dns_lookup_kdc true [realms] DS.DOMAIN.COM = { kdc = ds.domain.com:88 admin_server = ds.domain.com default_domain = domain.com } [domain_realm] .domain.com = DS.DOMAIN.COM domain.com = …

13 linux  active-directory  kerberos  kinit 

我试图更好地了解Active Directory如何处理架构更新，特别是该过程的安全性，给定AD的严重程度以及需要更新的情况的范围。例如，Exchange 2007，OCS，SCOM都需要更改架构，而不仅仅是考虑从Windows 2003到Windows 2008基础架构的重大转变时发生的事情。 我在寻找的是关于方案更改的最佳回退计划的建议，以防万一它确实出错了。例如，在更新期间使一个DC脱机并在架构更新失败时使用该DC还原整个环境是否可以接受？重新激活架构更新期间脱机的DC是否有任何问题？

13 windows-server-2003  windows-server-2008  backup  active-directory  schema 

我为软件开发配置了一些Vista x64工作状态，这些状态从未加入我们的AD域。用户在加入后希望在其本地未加入的用户配置文件中拥有许多自定义设置，希望这些设置保持不变。我该怎么做呢？它们的配置文件很大（在某些情况下不到1GB），充满了源代码，等等。

13 active-directory 

我希望有人能证实我的看法，因为我在质疑我的记忆力... 标题说明了一切。在快速部署多个类似系统的过程中，我们似乎能够创建具有相同名称的系统，而Active Directory允许我们将其添加到域中。 问题在于，其中一台计算机将不再“看到”该域，并说它不再能够看到它。 我从域中删除了一台机器，然后用名称的变体重新添加了它；我记错了什么，还是可以在AD中添加两台计算机并有效地将另一台计算机从域中删除？我是否以为这是广告首先不应该允许的事情？我认为这会发出警告，就像AD尝试在AD结构中添加已经存在的用户名时一样。

13 active-directory  hostname 

我有一些使用Active Directory进行身份验证的Web应用程序。我想做的是提供一个简单的网页，允许用户更新其AD密码。 当大多数用户的Windows计算机连接到此AD服务器时（这可以通过ctrl-alt-del更改密码），这不是问题，但是我们已经远离了，而AD服务器主要用于Web。应用。 为此有一个简单的解决方案，还是我正在寻找大型LDAP管理器？

13 active-directory  authentication  password 

我不是Active Directory中的专家管理员，因此我需要一些帮助。 在我的工作中，我们购买了带有2008服务器操作系统的新服务器。并且旧的AD域控制器在2003服务器上运行。 想法是使2008服务器成为新的DC，而2003服务器将成为文件服务器。 将AD及其所有设置，成员，组，权限等移至新服务器的最佳方法是什么？ 以及如何从旧的设置中删除广告设置？ 先感谢您。

13 windows-server-2003  windows-server-2008  active-directory 

每个人都在谈论域控制器，他们应该安装一个证书，但是到最后，它是可选的。安装后，该证书实际使用什么？我的理解是至少需要： 智能卡身份验证 LDAPS 但是，我想知道域控制器使用证书的DC或Active Directory是否有特定的本机操作？ 我知道这里的安全隐患/良好实践:)我只是对游戏机制感兴趣。

13 active-directory  domain-controller  certificate  ad-certificate-services 

我们的Microsoft SQL Server在Active Directory域的一部分Windows Server上运行。 为了方便用户的管理，我们的SQL授权使用Active Directory用户组在这个解释成立后。 现在，只要每个人都在域内工作，此方法就可以正常工作。人们使用其AD凭据登录到其计算机，并可以使用“ Windows身份验证”连接到SQL Server。 问题是我们的用户还将在不属于Active Directory域的其他客户端计算机上工作（并且不能将它们添加到该域中）。 我希望他们可以继续使用他们的AD凭据通过使用SQL Server登录屏幕中提到的AD身份验证来登录服务器。 但是，这似乎不起作用。 使用Acive Directory密码身份验证登录会出现证书问题。错误：“证书链是由不受信任的颁发机构颁发的。” Cannot connect to x.x.x.x. =================================== A connection was successfully established with the server, but then an error occurred during the login process. (provider: SSL Provider, error: 0 - The certificate chain was issued …

13 windows-server-2008  active-directory  sql-server-2008  authentication  cross-domain 

很难说出这里的要求。这个问题是模棱两可，含糊，不完整，过于宽泛或夸张的，不能以目前的形式合理地回答。如需帮助澄清此问题以便可以重新打开， 请访问帮助中心。 8年前关闭。 有没有办法Ping和ldap服务器？我见过ldapsearch和ldapwhoami，但希望能更喜欢ping。本质上，我们在选择的LDAP服务器前面有一个bip地址，并希望确认我们要连接的服务器。

13 active-directory  ldap