Articles of 活动目录

我可以在父林中创build没有域pipe理员的子林吗?

我完全是Windows Server / AD的新东西。 我是一个Linux的家伙,尝试这个Windows的东西是令人难以置信的。 我有一个现有的AD域,我不pipe理,是我的控制,我想作为父域。 我正在尝试创build一个没有父域pipe理员的子域,如果有帮助,我有一个通用的帐户。 是否有可能做我想做的事情? 我究竟在做什么呢? 看到下面我想要实现的… 我想创build一个新的域,允许域A(我build议的父)的现有用户对连接到域B(提出的子)的机器进行身份validation。 我也希望能够添加刚刚存在于域B中的帐户。最后,我希望能够向仅在域B中有效的域A的用户添加额外的组。简而言之:我想使用域A作为密码authentication(和一些现有的组),如果可能的话,一切都由域B控制。 是的,我是一个初学者,我听说我想做的事情是完全可能的,但是我不知道如何去做或者做什么。 我认为这可能是一种单向的森林信任? 额外信息:我的域控制器(域B)是在VMWare上虚拟化的Windows Server 2016,并且可以通过networking路由到域A. 谢谢!

如果在msDS-ManagedPasswordInterval的天数之后首次使用,IIS App Pool将不会以gMSA身份启动

直到最近,我们一直在我们的环境中使用Group Managed Service Accounts(gMSAs)。 我们在生产中部署了几个应用程序,其中gMSAs是在60天前创build的,但尚未使用。 在gMSA的属性上,msDS-ManagedPasswordInterval的默认值是30天。 当install-adserviceaccount作为部署脚本的一部分运行时,pwdLastSet,msDS-ManagedPasswordId和msDS-ManagedPasswordPreviousId属性已更新,但是应用程序池始终无法启动,我们看到每次尝试启动都会出现badPasswordTime更新。 通过再次运行install-adserviceaccount修复了这个问题,这大概是从AD中获取了正确的密码。 我们用多个账户观察到这种行为,其中第一次使用的天数大于30天。 我们还没有看到这个帐户已被使用在30天内创build(超过150个帐户)的问题。 另一个variables是我们正在部署到负载平衡的环境,所以gMSA可以同时安装在多台服务器上。 不是所有的服务器都有相同的gMSA的问题。 在运行我们的脚本之外,我们还没有能够通过手动testing来重现这个问题,所以我想知道在更改密码和在更改完全同步之前从活动目录中检索密码之间是否存在争用条件。 有没有办法检查是否是这种情况? 有没有其他人遇到过这种情况? 目标服务器和域控制器(5)都运行Windows Server 2012 R2,并已完全打补丁。 域function级别也是Windows Server 2012 R2。

NTFS权限 – 隐式拒绝的问题

我有一个使用Active Directory在本地域中的4个虚拟机的networking:使用Windows Server 2008 R2 Enterprise的2个DC,使用Windows Server 2008 R2 Enterprise的1个成员服务器和使用Windows 7 Ultimate的一个客户端。 我在包含文本文档的成员服务器上共享一个文件夹。 共享权限设置为对每个人完全控制。 我映射Windows 7客户端上的networking驱动器与成员服务器中的共享文件夹使用作为凭据的用户不是从pipe理员组,但是谁是我给所有NTFS权限的“销售”组的成员完全控制和修改。 一切正常,我可以打开文件夹并查看它的内容。 但是,如果从共享文件夹的NTFS权限中指定的组列表中删除“销售”组,我仍然可以使用相同的用户凭据访问该文件夹以映射networking驱动器。 为什么不隐式拒绝踢? 如果我在向“销售”组授予NTFS权限之前尝试访问该文件夹,我无法访问它,所以一开始隐式拒绝就开始了。就像我从NTFS权限中删除“Sales”组后,即使在重新启动包含该文件夹的成员服务器之后,该设置仍在内存中。 那么为什么一开始隐式拒绝的作品和用户的组织有NTFS权限访问后,隐式拒绝不再起作用了? 我在网上search这个问题,没有太多的信息或问题报告隐式拒绝。 谢谢!

AD LDS何时真正需要

我有一个关于AD LDS的目的的问题。 目前我正在玩弄Windows服务器基础设施,以更好地了解其内部工作,并旨在build立一个简单的testingnetworking。 我完成了安装和设置我的域控制器(安装了AD DS,DHCP和DNS),现在打算构build一个外部networking(在商业世界中更常称为DMZ区域),这可能包含共享点或正常Web应用程序。 从我研究的内容来看,我知道我可以使用LDAP身份validation在我的Web应用程序上执行单点login。 我也了解AD DS也安装了LDAP端口。 我的问题是,在这种情况下,我还需要使用AD LDS吗? 从我所了解的AD LDS,它允许我从我的活动目录同步用户数据。 通过同步数据,我可以执行ldap身份validation。 但是,如果不使用AD LDS,也可以达到同样的效果吗? 我仍然可以连接到我的Active Directory的LDAP端口,仍然实现相同的事情吗?

无法重命名Windows服务器

我使用这个 netdom命令序列将我们的AD控制器中的一个从“A”重命名为“B”。 理由是,历史名称“A”会更适合我们想要安装的新服务器。 这个从“A”到“B”的重命名顺利进行,特别是ADfunction正在运行。 但是,我们只能以新名称“C”安装新服务器。 它也可以很容易地改名为“D”或“E”或…,但不是“A”。 我认为这可能是旧的DNS名称仍然存在。 而不是等待几个星期,直到它自动老化,我从DNS中删除它,但没有帮助。 当我尝试将“C”重命名为“A”时,我得到的是一个“内部错误”,在事件日志中没有任何明显的消息。 什么可能导致这个?

Windows Server 2016或Cisco 1900路由器作为vpn设备用于与活动目录authentication的连接?

我对vpns相对来说比较陌生,所以请原谅我的问题。 在我的testing场景中,我有一个小公司networking,客户端到站点vpn。 这个networking包含一个DC,文件服务器,共享点等… VPN连接的用户只能使用他们的AD帐户进行身份validation。 VPN服务器是最后一件事情,但我不知道我应该使用哪个解决scheme。 我做了一些研究,find了两个解决scheme。 – Windows Server 2016与RRAS – 思科路由器 问题1:在性能,安全性和可扩展性的情况下,有人可以向我解释这两种解决scheme之间的区别吗? 问题2:如何在Cisco 1900路由器上实现AD身份validation?

在Exchange 2013中设置自定义属性

我无法弄清楚如何在Exchange 2013中设置自定义属性。 如果内存正确地为我服务,它在Exchange 2010中一般。 我知道你可以在Active Directory中做到这一点,如果我深入到OU,分配列表是第一个2000年或其他什么。 如果我searchDL,我不能input属性,在那个地方没有地方。 我见过一些PS脚本,但不适用于我。 我只需要能够inputDL的电子邮件地址,然后input属性。

要在AD集成的DNS中删除DNSlogging,需要什么权限以及在哪里?

我希望能够允许特定的用户从我的Active Directory集成的DNS区域中删除DNSlogging。 一个区域复制到域中的DC上的所有DNS服务器(所以在DomainDnsZones中)。 另一个区域被复制到域中的所有域控制器(因此在CN = System,CN = MicrosoftDNS,DC =域中)。 反向查找区域被复制到森林中的所有DNS服务器(所以在ForestDNSZones中)。 我已经尝试在All descendant objects上添加Delete DomainDnsZones中的区域和ForestDNSZones中适当的反向查找区域。 例如,在DomainDnsZone上使用Get-Acl显示(对于指定的帐户): ActiveDirectoryRights : Delete AccessControlType : Allow InheritanceFlags : ContainerInherit PropagationFlags : InheritOnly InheritanceType : Descendents 但是当我尝试使用DNSCMD删除示例logging时,我得到ACCESS DENIED。 为什么不是这么好听呢? 我还需要做什么?

读windows nltest / server / domain_trust输出

我希望能够快速logging我们在AD环境中有多less信任,所以我使用了nltest /server:<domain controller host> /domain_trusts /all_trusts 很容易找出1和2方式信任的位置,但我无法find正在显示的其他一些输出的文档。 例如: 0: MYDOMAIN mydomain.test.net (NT 5) (Forest: 1) (Direct Outbound) (Direct Inbound) ( Attr: 0x20 ) 1: TEST test.net (NT 5) (Forest Tree Root) 2: CHILD child.ey.net (NT 5) (Forest: 1) 3: SUBCHILD subchild.child.ey.net (NT 5) (Forest: 6) 我得到直接出站和入站,我假设“NT 5”只是服务器发布版本(请纠正我,如果我错了),但是什么是“森林:#”数据被返回? 我唯一能说的是,子/域的数字更高。

w2008r2 DCPROMO用于单标签域

我公司有2个域控制器。 DC1小学是W2008 R2 [最近join], DC2是W2003-R2,它是一个名为ABC的单一标签域 是的,我知道Microsoftbuild议至less使用两个或更多的名称部件,但是这是自最近推出AD 2008以来,运行数百个工作站和服务器的旧networking。 W2003基础DC仍与WDS一起作为辅助/备用DC。 作为广告devise,用户有时login到DC1,有时甚至到DC2罚款一切正常。 现在作为灾难恢复计划的一部分,我必须在testing实验室恢复DC。 我安装了Windows 2008 R2在孤立的虚拟机,并启动DCPROMO,但获取错误“单标签域”域名部分作为MS KB指出 Windows Server 2008 R2 DCPROMO prevents the creation of new Active Directory domains with single-label DNS names. 我怎样才能克服这个问题? 如果真的发生灾难,我将如何恢复AD? 任何推荐什么path?