Tag: 活动目录

针对小型办公室的多angular色域控制器(<50个客户端)

警告:我是Linux / * NIXpipe理员,所以这对我来说都是新的。 我知道只有一个域控制器并不是一个好主意,而且域控制器也可能只是做一个AD / DHCP / DNS( 这里 )。 我们有两个办公室,地点A有30个用户,地点B有10个用户。 我们的两个办公室之间由一个不是特别健壮的WAN隔开,所以我得到指示,我们需要在每个办公室都有独立的服务。 这意味着根据“最佳实践”,我们需要在每个办公室build立一个域控制器和一个单独的文件服务器。 再次,我不熟悉Windows的方式,但这对于40个用户的组织来说似乎没有必要。 人们已经评论说,只要“负载轻松”,我就可以“脱身”在域控制器上运行文件服务。 这似乎只会产生比答案更多的问题。 什么构成轻负荷? 混合这些angular色的潜在后果是什么? 理想情况下,我宁愿在每个位置只有一台物理机器。 位置A(IT人员所在的位置)可以充当主要的域控制器,而较小的办公室则可以充当备份域控制器。 如果任何一个域控制器出现故障,我们仍然可以使用另一个进行身份validation(虽然有一些延迟),如果WAN连接失败,每个办公室仍然可以访问各自的“本地”域控制器。 如果文件服务也在每台服务器上运行(并与DFS等同步),那么就可以在冗余方面进行类似的安排,而无需购买,构build和安装另外两台独立的服务器。 这并不是说我对此不利(对我来说,比起我来说更不利于我),但是对我的简单的想法看起来好像有点矫枉过正。 当我们谈论大型组织时,我可以肯定地看到function分离的好处,但是我也需要考虑额外的开销。 这些都不包括域控制器的DRP设置。 我假设你可以像一个一样容易地丢失两个域控制器。 编辑:我得到的答案真的很不错,但我想看看硬币的另一面,如果这是可能的。 混合angular色可能会出错吗? 我冒着这种设置冒着什么风险,而不是冒着每个控制器做Active Directory和Active Directory的风险?

在删除AD之前,如何检查AD中的组/用户?

我正在清理一个没有很好logging的inheritance域。 我如何检查一个特定的组织或用户是否在整个AD内都没有ACE? 比如在AD对象和文件服务器对象中searchDACL / SACL。 pipe理者甚至做这种尽职调查吗? [编辑]我还不能添加评论,但我要感谢本和吉姆的回应。 准备这样深思熟虑的答案需要很长时间,所以我尊重他们的慷慨和愿意分享他们的经验。 感谢您检查基于AD的权限的位置列表 – 非常有帮助。 我赞赏如果访问被无意中删除,保留空群组以重新填充的build议。 我已经写了一些C#代码枚举组成员资格,所以我有这个备份。 (我觉得比PowerShell更容易使用)。我也使用Shareinum这样的sysinternals工具。 Notes / Description字段 – 它们是什么? 说真的,我知道他们是什么,但我的前任并没有使用它们。 他们也没有使用嵌套组。

Active Directory用户和组策略

我有一个包含多个域用户的小域。 我如何设置用户具有pipe理员权限(用于安装软件),但限制他们访问海量存储设备和DVD-ROM? 另外,我想在Windows中设置访问用户和组pipe理的限制。 我将他们的域用户添加到本地机器上的pipe理员组,他们可以添加新的本地用户,我想阻止。

Active Directory层次结构的例子

我正在调整我所在机构的本地活动目录服务器的层次结构。 我想知道是否有人知道任何地方,我可以find这个任务的最佳做法。 例如,如果最好在不同的OU中有机器和用户,或者有任何有实例的网站,我可以看看有什么想法。 例如 domain.local 电脑 用户 CompanyComputers 服务器 工作站 会计 它 行政 CompanyUsers 行政 会计 它 谢谢

请帮助 – 架构/ RID主站不可用,无法通过ntdsutil连接到它

我非常需要帮助。 我有两个域控制器,一个目前无限期地在昨天晚上下来。 我有一个特区维持整个领域。 有点恐慌。 我们的服务器在2008r2上运行。 发生故障的域控制器是当前的架构主机和RID主机。 当服务器死机/脱机时,我找不到任何有关如何夺取angular色的文档。 我希望抓住所有angular色到剩下的最后一个域控制器,重build第二个angular色并转移angular色。 有没有人遇到这种types的问题?

在Windows 8.1中,远程桌面中的“。”会使当前计算机不是远程计算机

我们最近在服务器上遇到“信任关系失败”消息时,我们遇到了一些问题。 现在通常我只能用本地pipe理员login来解决这个问题,但是我已经升级到我的笔记本电脑上的Windows 8.1,当我尝试使用“。\”域login到服务器使用本地pipe理员域parsing我的笔记本电脑的名字。 我无法使用实际的服务器名称,因为它在Active Directory服务器中查找它,部分问题在AD服务器上。 在Windows 8.1中有本地计算机的快捷方式吗?

“爆炸账户”这个词的起源和/或标准是什么?

我一直听到公司的“爆炸账户”,并且通过上下文认为这是一个提升特权的账户。 我认为Active Directory帐户的情况尤其如此,但是我可以在互联网上find非常less的提及的“帐户”,“帐户”或这个术语的变体。 我唯一的“bang”的上下文是shell脚本“hash bang bin bash”的开始,例如: #!/bin/bash 。 我想在某些方面! 可能是“高架”账户的简写。 谁能告诉我,如果我是正确的,它来自哪里(当然它有一些词源含义),如果它实际上只是公元的范围?

AD IT助手权限

如果以前有人问过我的道歉, 如果我知道正确的search条件,那么谷歌将更有效。 我想添加一个用户,可以将计算机join域,在用户计算机上安装软件和打印机,甚至可以更改用户密码。 是否有像帮助台这样的angular色可以做到这一点,但可以限制在服务器和networking上的特定文件夹(如工资)? 任何帮助赞赏。 谢谢。

使用真正的域的Active Directory域的问题?

是否有任何理由,我不应该使用example.com作为我的AD域与example.local或一些其他不存在的变种?

用于Webauthentication的活动目录:扩展到1M用户?

我对活动目录作为一个网站的authentication后端有多好感,对于大约一百万用户的规模。 你有在这个规模的networking环境中使用AD的经验吗?如果有的话,我们需要什么水平的硬件? [更新]关于login频率:我同意这是一个关键因素,但我们还没有这些信息。 假设一个常规的商业/银行网站设置:通过表单login一次,在一个会话中携带你的身份(即没有login页面以外的页面上的ADauthentication调用)。 AD将不会存储超过authentication所需的大量用户信息。 你期望网站有多忙 :假设一个正常的商业/银行网站。 没有进一步的信息。 本AD是否会被分割 :虽然最简单的架构是可取的。 本指令是否会服务于其他任何人 :否。 你的OU结构有多复杂 你会扩展模式:将使用标准模式。 OU结构将相当简单。 你会在其上执行许多search :只查找用户名/电子邮件的后续绑定。 你会存储大量的信息对用户对象 :没有 交stream将涉及本指令 :否

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.