Tag: 活动目录

获取Win 2003服务器上的用户访问列表

我想查找所有未使用的活动目录帐户,所以我需要看到最后一次访问的域名。 我看着用户属性,但我没有find任何东西。 我在哪里可以find这些信息?

如何在Active Directory中configuration自动login

我需要改善我们的帐户pipe理(使用活动目录),为有50多台电脑的客户支持网站。 默认的“AD”是给每个用户自己的帐户。 这增加了许多与添加/禁用/启用用户帐户的pipe理。 为了避免这个监督者已经开始使用domain\callcenter2等共享“一般”帐户,我不喜欢每个人都知道和分享帐户和密码的想法。 我们理想的解决scheme是创build一个不需要用户login的计算机组。 即用户只需启动计算机。 我应该使用像domain\agentAccount这样的单个用户帐户来configuration自动login吗? 如果我为所有用户使用相同的帐户,还有什么需要考虑的吗? 如何在组上configurationGPO的实际自动login? 有没有第三方插件的“微软方式”? 还是有更好的解决scheme?

ADExplorer,如何search“distinguishedName contains”条件?

我正在使用Microsoft的ADExplorer 1.42。 我不太了解这个计划,所以请帮助我解决与search有关的问题。 右键单击一个节点(例如,CN = NlscanStaff)并selectsearch容器… ,使用默认search属性,我可以看到NlscanStaff内的所有对象列为结果。 请注意有一个CN = CHJTEST对象列出。 现在,我的问题是,如何具体searchCHJTEST? 我试过search条件: 属性:distinguishedName 关系:包含 值:CN = CHJTEST 点击添加,然后search。 但没有结果 。 有人能告诉我发生了什么事吗? 谢谢。

将Windows Server 2012域控制器添加到现有的Windows Server 2003域失败

我想添加一个额外的域控制器到我们现有的域名。 现在我们只有一个在Windows Server 2003上运行的域控制器。 我试图推广Windows Server 2012成为我们域的另一个域控制器。 不幸的是,先决条件检查失败,消息: validationActive Directory准备的先决条件失败。 以前的架构扩展已经定义了某些属性值,而不是此版本的Windows Server所需的架构扩展。 有没有可能检查,这里有什么问题,以及如何解决这个问题? 我发现日志文件,它抱怨了一些属性值: ================================================== =========================== Windows 2000架构和扩展架构中定义的对象的“attributeId”属性值不匹配。 [2013/01/14:10:50:39.622]以前的模式扩展为对象“CN = uidNumber,CN = Schema,CN = Configuration,DC”定义了属性值“1.2.840.113556.1.4.7000.187.70” = xxx,DC = de“不同于Windows Server 2008 R2所需的架构扩展。 [状态/结果] Adprep无法扩展现有的模式 [用户操作]请联系先前扩展架构以解决不一致的应用程序的供应商。 然后再次运行adprep。 [2013年1月14日:10:50:39.627] ================================================== ===========================在Windows 2000架构和扩展架构中定义的对象的“attributeId”属性值不匹配。 [2013/01/14:10:50:39.627]以前的模式扩展已经将对象“CN = gidNumber,CN = Schema,CN = Configuration,DC”的属性值定义为“1.2.840.113556.1.4.7000.187.71” = xxx,DC = de“不同于Windows Server 2008 R2所需的架构扩展。 [状态/结果] […]

跟踪企业台式机

我的一部分工作是确保对于特定OU中的计算机,实际上正在使用什么= AD中列出的内容= SCCM中列出的内容。 这是一个25万台电脑的环境,但我特别关心一个部门的70K。 将AD与SCCM进行比较是相当容易的,但是更难以追踪那些并不存在的计算机。 我试图想出创造性的方法来解决这个问题。 我的问题是:find不存在的机器查询AD与Powershell的计算机没有loginX天的好方法? 我想在PowerShell中更复杂的任务如下:从AD中拉dnshostnames Ping我的OU中的所有主机,并成功,将它们从列表中删除。 每6个小时运行一个星期一个星期,继续删除ping成功的机器。 笔记本电脑,我将不得不处理不同。 任何其他想法,build议等?

外包Active Directory服务器。 可能吗? 这是实用的吗?

我们公司是一个相当小的商店。 尽pipe如此,我们希望“做正确的事情”,其中一部分就是实施Active Directory。 但是,我们没有全职系统pipe理员的预算来为我们pipe理它。 我在想: 是否有可能将我们的Active Directory服务器的pipe理外包给第三方? 将Active Directory服务器的pipe理外包给第三方是否可行 ? 它有多安全? 例如,在密码重置的情况下,服务提供商会采取什么措施来确保请求者是谁? 正如我在这里读到的其他职位在serverfault,主办一个Active Directory服务器不是一个好主意。 但是,如果服务器在我们的网站,那么提供商如何pipe理它,而不必每次都实际访问我们的网站? 谢谢!

域升级:什么时候需要通过迁移到新的林/域?

据我所知,有两种方法可以将AD升级到更新的版本(比如从2003/2008到2008R2):通过添加新的DC /对现有DC进行就地升级,并使用ADMT迁移到新的目录林/域。 最新的选项保证你的模式将是干净的,你重新开始,但是对于环境来说更难以破坏。 我的问题是我该如何testing(除了DCDIAG)或者我应该检查什么,以确保在没有域名/森林迁移的情况下进行升级对我来说是不错的,我不会从传统环境中带来任何问题/问题在升级一个? 除了需要整合名称和对传统AD架构的温馨关注之外,有哪些东西可以certificate通过迁移到新的域/森林来升级AD?

无法从Linux主机使用Kerberos查询AD

ldapsearch -H <URL> -b <BASE> -s sub -D <USER> -x -w <PW> 工作正常 kinit <USER>@<REALM> ldapsearch -H <URL> -b <BASE> -s sub 失败: text: 000004DC: LdapErr: DSID-0C0906E8, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v1db1 kinit Administrator@<REALM> ldapsearch -H <URL> -b <BASE> -s sub […]

每个用户有多个别名/昵称

在Active Directory中,我们使用一个合适的值(在这种情况下为EmployeeId)填充Mailnickname。 当用户转到Outlook时,inputmailnickname(employeeId),Outlook将查找GAL(首先是本地caching,但与此问题无关)。 见例1。 如果我们想要为每个用户实现几个“邮件名称”,那怎么办呢? 忘记具体字段“mailnickname”,这是一个单一的string属性 – 但其他方式进入一系列的“mailnicknames”/别名到Outlook – 并find合适的人。 见例2。 示例1(标准function) 用户:鲍勃 Mailnickname(s):{123} 在outlook领域,我input:123 – 它发现鲍勃的帐户。 实例2(所需function) 属性 用户:鲍勃 邮件名字:{123,456,789} 在outlook领域,我input:123 – 它发现鲍勃的帐户。 在outlook领域,我input:456 – 它发现鲍勃的帐户。 在outlook领域,我input:789 – 它发现鲍勃的帐户。 AD / Exchange中是否有适用于此场景的字段? 是否有其他方法来完成相同的function? 说明 我可以理解为什么这听起来像一个奇怪的要求。 我将解释背景。 在公司人力资源系统中,人们被分配了一个ID(123,456等)。 然后该ID被用作他们的login名(samaccountname)。 为了避免最终用户不得不记住一个新的ID,必须重新命名他们的AD账户和一堆账户,这样他们的雇佣状态的某些变化将触发他们需要分配额外的人力资源ID来处理税收,报告等。其他相关的系统,我们继续使用他们的第一个ID作为他们的samaacountname。 我们还将此HR ID设置为邮件名称。 如果我想给别人发电子邮件,我会要求他们的人力资源编号,并在现场input,然后解决。 这很好,HR以外的人很less看到第二个(或第三个)HR ID。 但是在HR系统的一些报表和屏幕上,可见的是第二个(或第三个)HR ID,而不是与他们的samaccountname和mailnickname相对应的HR ID。 那么接下来的问题是,我们可以将这些第二和第三个HR ID添加为某种别名,这样他们就可以解决了。 我们已经将人力资源系统与AD账户pipe理充分结合起来,所以如果能够find一个交stream/ AD的方式,实施起来是非常直接的。

什么是MS-Membership Transitive.LDF?

安装ad-lds时,您可以select导入多个LDF文件。 其中一些在这里描述: http : //technet.microsoft.com/en-us/library/cc771943.aspx 。 谁能告诉我MS-Membership Transitive.LDF文件是关于什么的?

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.