คำถามติดแท็ก active-directory

โดเมน Windows ที่ฉันจัดการมีชื่อคอมพิวเตอร์หลายร้อยชื่อที่ฉันไม่รู้จักและฉันต้องการลบชื่อเก่าที่ไม่ได้ใช้งานก่อนที่จะพยายามติดตามชื่อที่ผิด มีบางสิ่งที่จะเห็นเมื่อครั้งล่าสุดที่เครื่องเข้าสู่ระบบเครือข่าย? ทั้งผ่าน dhcpd หรือเหตุการณ์การเข้าสู่ระบบของผู้ใช้หรืออย่างอื่น

14 windows  active-directory 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน5 ปีที่ผ่านมา มีใครรู้บ้างเกี่ยวกับเครื่องมือที่มีประโยชน์ในการกำจัด Active Directory บนโดเมน Server 2003 ฉันต้องการล้างคอมพิวเตอร์เก่าและอื่น ๆ และต้องการเครื่องมือฟรี ฉันมีอุปกรณ์มากมายที่ฉันรู้ว่าไม่มีอยู่และฉันต้องการทำความสะอาดก่อนที่จะสร้าง DC ใหม่

14 windows-server-2003  active-directory  cleanup 

ในแง่ของความปลอดภัยและการจัดการ - แนวปฏิบัติที่ดีที่สุดคืออะไร? ควรเว็บเซิร์ฟเวอร์ เพิ่มและจัดการจากโดเมน Active Directory หรือ เป็นส่วนหนึ่งของเวิร์กกรุ๊ป 'เว็บเซิร์ฟเวอร์' ที่แยกจากไดเรกทอรีที่ใช้งาน 'เซิร์ฟเวอร์ทรัพยากร' หรือไม่ ไม่จำเป็นต้องมีบัญชีผู้ใช้บนเว็บเซิร์ฟเวอร์เฉพาะบัญชีการจัดการ (การจัดการเซิร์ฟเวอร์การรายงานระบบการปรับใช้เนื้อหา ฯลฯ )

14 iis  active-directory  web-server  windows 

ฉันใหม่สำหรับ PowerShell แต่ฉันอ่านคู่มือและฝึกฝนมาบ้างแล้ว วัตถุประสงค์ของฉันคือการแสดงรายชื่อผู้ใช้ทั้งหมดในกลุ่มความปลอดภัยทั้งหมดภายใต้เส้นทางที่ระบุ ฉันได้พบวิธีที่จะทำ: get-adgroup -Filter * -SearchBase "OU=Groups,DC=corp,DC=ourcompany,DC=Com" | %{Get-ADGroupMember $_.name} | ft name แต่ปัญหาคือฉันไม่เห็นชื่อกลุ่ม ทั้งหมดที่ฉันได้รับคือกลุ่มผู้ใช้งาน มันจะดีถ้ามีคนบอกวิธีแสดงชื่อกลุ่มก่อนที่สมาชิกทั้งหมดของกลุ่มนี้จะเข้าร่วม ขอบคุณ

14 active-directory  powershell  groups 

ฉันกำลังตรวจสอบบันทึกโฆษณาเมื่อมีคนแก้ไขวัตถุโฆษณาฉันจะเห็นบันทึก แต่มีเพียง GUID ของนโยบายกลุ่มที่ให้ไว้ในบรรทัด ดังนั้นเมื่อใช้ GUID ของนโยบายกลุ่มจะสามารถรับชื่อที่แสดงใน gpmc.msc ได้หรือไม่ (ฉันหมายถึงใช้โปรโตคอล LDAP เพื่อรับสิ่งนั้น)

14 windows-server-2008  active-directory 

สิ่งนี้ได้ดักฟังฉันมาระยะหนึ่งแล้ว เราทุกคนรู้ว่า Active Directory เป็นฐานข้อมูล LDAP นอกจากนี้เรายังทราบว่าบริการ Windows DNS เมื่อทำงานบนตัวควบคุมโดเมนสามารถจัดเก็บข้อมูลไว้ในโฆษณาแทนไฟล์โซนข้อความธรรมดาดังนั้นจึงได้ประโยชน์จากการจำลองแบบอัตโนมัติของ AD และกำจัดความต้องการเซิร์ฟเวอร์ DNS หลัก / รอง คำถาม: ที่และวิธีการที่จะได้รับข้อมูลที่ถูกจัดเก็บจริง DNS ใน Active Directory? พวกเขาสามารถเข้าถึงได้โดยใช้เครื่องมือ LDAP เช่น ADSIEdit หรือไม่ รายการ DNS ใด ๆ เป็นวัตถุ LDAP จริงหรือไม่ คุณลักษณะในวัตถุหรือไม่? มีอะไรแตกต่างกันอย่างสิ้นเชิง?

14 domain-name-system  active-directory  database  ldap  schema 

ฉันต้องการสร้างบัญชีที่คล้ายกับ Domain Admin แต่ไม่สามารถเข้าถึงตัวควบคุมโดเมน กล่าวอีกนัยหนึ่งบัญชีนี้จะมีสิทธิ์ผู้ดูแลระบบแบบเต็มสำหรับเครื่องไคลเอนต์ใด ๆ ในโดเมนสามารถเพิ่มเครื่องลงในโดเมน แต่มีสิทธิ์ของผู้ใช้ที่ จำกัด เฉพาะกับเซิร์ฟเวอร์ บัญชีนี้จะถูกใช้โดยบุคคลในบทบาทการสนับสนุนทางเทคนิคของผู้ใช้ปลายทาง พวกเขาควรมีสิทธิ์เข้าถึงเครื่องไคลเอนต์สำหรับการติดตั้งไดรเวอร์แอพพลิเคชั่น ฯลฯ ... แต่ฉันไม่ต้องการมันบนเซิร์ฟเวอร์ ในขณะที่ฉันอาจจะโยนบางสิ่งบางอย่างร่วมกันผ่านนโยบายมันอาจจะยุ่งดังนั้นฉันคิดว่าฉันควรถามว่า: อะไรคือวิธีที่เหมาะสมที่จะไปเกี่ยวกับเรื่องนี้?

14 security  active-directory 

ฉันเข้าร่วมโปรเจคและชื่อโดเมนท้องถิ่นคือ domain.com พวกเขายังมีเว็บไซต์ที่ domain.com ฉันใช้ domain.local สำหรับโฆษณาอยู่ตลอดและฉันสงสัยว่านี่เป็นวิธีปฏิบัติที่ดีที่สุดหรือมีเหตุผลที่ไม่ทำเช่นนั้น การเรียกใช้ nslookup ภายในสำหรับ domain.com จะแก้ไข IP ที่เหมาะสมและเรคคอร์ด rDNS ได้รับการกำหนดค่าอย่างถูกต้อง ฉันต้องการเริ่มเชื่อมต่อเซิร์ฟเวอร์และ vCSA ผ่าน LDAP และสงสัยว่าสิ่งนี้อาจเริ่มก่อให้เกิดปัญหาหรือไม่

13 domain-name-system  active-directory  windows-server-2012  reverse-dns 

ฉันย้ายโดเมนโฆษณาในพื้นที่ของฉันไปยัง AWS และฉันไม่แน่ใจว่าวิธีที่ดีที่สุดที่จะทำ สถานการณ์จำลอง : ฉันมี 2 โดเมนในตัว (.local และ. net) ฉันกำลังจะเกษียณหนึ่งในนั้นและย้ายไปที่อื่น ทั้งสองถือว่าเป็นการผลิตเนื่องจากใช้อย่างแข็งขัน ก่อนที่ฉันจะเริ่มย้ายทุกสิ่งทุกอย่างจากที่หนึ่งไปยังอีกที่ฉันต้องการที่จะขยายโฆษณาใน AWS นอกจากนี้เราต้องการออกจากศูนย์ข้อมูลในที่สุด ตัวเลือกที่ 1 : หมุนอินสแตนซ์ 2 EC2 และกำหนดค่าเป็น DC ดูเหมือนจะเป็นตัวเลือกที่ง่ายที่สุด แต่มีราคาแพงที่สุด (เช่น 0.99 เหรียญสหรัฐ / ชม. สำหรับเครื่องจักรขนาด 2 m4.x ขนาดใหญ่) ตัวเลือกที่ 2 : ใช้บริการไดเรกทอรี AWS (ดูใหม่สวย) ปัญหานี้คือพวกเขาไม่อนุญาตให้คุณขยายโดเมนปัจจุบันของคุณ พวกเขาอนุญาตให้คุณสร้างโดเมนใหม่เท่านั้น ข้อดีคือมันถูกกว่า ($ 0.40 / ชม. ฉันเชื่อ) และพวกเขากำหนดค่าทุกอย่างสำหรับคุณ …

13 active-directory  amazon-web-services  aws-directory-service 

ฉันได้เขียนสคริปต์ PowerShell สั้น ๆ นี้เพื่อเปลี่ยนชื่อคอมพิวเตอร์เป็นส่วนหนึ่งของลำดับงาน MDT: Import-Module ActiveDirectory $AdminUsername = 'domain.com\administrator' $AdminPassword = 'password' | ConvertTo-SecureString -asPlainText -Force $cred = New-Object System.Management.Automation.PSCredential -ArgumentList $AdminUsername, $AdminPassword $Domain = Get-ADDomainController –DomainName domain.com -Discover -NextClosestSite $Site = $Domain.Site $DomainComputer = Get-WmiObject Win32_BIOS $Serial = $DomainComputer.SerialNumber $Computername = $Site + "-" + $Serial Rename-Computer …

13 active-directory  powershell  mdt 

ฉันต้องเพิ่มผู้ใช้ประมาณ 500 คนใน OU ในโฆษณา ฉันได้สคริปต์ทุกสิ่งที่ฉันต้องการ แต่มันทำให้เกิดข้อผิดพลาด: the name provided is not a properly formed นี่คือสคริปต์ New-ADUser -Name C080CAB1-9756-409F-914D-AE3971F67DE7 -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true ฉันทดสอบสองสามครั้งเพื่อรับรองว่าปัญหาคืออะไร: New-ADUser -Name "C080CAB1-9756-409F-914D-AE3971F67DE7" -Path "OU=Staging,DC=domain,DC=local" -accountPassword (convertto-securestring "zagreb+scotch8355" -asplaintext -force) -PasswordNeverExpires $True -CannotChangePassword $false -Enabled $true New-ADUser …

13 active-directory  powershell  windows-server-2012-r2 

ฉันต้องการรับความคิดเห็นแบบคู่ พบบทความนี้ออนไลน์และต้องการทราบว่าเป็นเรื่องดีหรือไม่ http://www.msserverpro.com/migrating-active-directory-domain-controller-from-windows-server-2003-sp2-to-windows-server-2008-r2/ สองสิ่งที่ต้องทำ 1. ย้ายการตั้งค่าไดเรกทอรีที่ใช้งานอยู่ทั้งหมดจากเซิร์ฟเวอร์ Server 2003 เก่าไปยังเซิร์ฟเวอร์ใหม่ 2008R2 2. ตั้งค่าผู้ใช้ทั้งหมดบนเซิร์ฟเวอร์ใหม่โดยใช้ csvde csvde -f output.csv -- on old server csvde -i -f output.csv -- on new server คำแนะนำใด ๆ ที่จะได้รับการชื่นชมอย่างมาก

13 windows-server-2008  windows-server-2003  active-directory 

แม้ว่าจะมีสามตัวเลือกให้เลือก แต่หนึ่งในนั้นมีความปลอดภัยจริง ๆ ดูเหมือนว่าจะมีเพียงสองตัวเลือกที่พร้อมใช้งานซึ่งจะสามารถส่งผลกระทบต่อเครื่องที่ไม่ได้เปิดอยู่ในขณะที่มีการเปลี่ยนแปลงหรือเป็นมือถือและไม่ได้อยู่ในเครือข่าย ในช่วงเวลาของการเปลี่ยนแปลง ทั้งสองอย่างนั้นดูเหมือนจะเป็นตัวเลือกที่ปลอดภัย สามตัวเลือกที่ฉันรู้คือ: สคริปต์เริ่มต้นด้วย. vbs วัตถุนโยบายกลุ่มโดยใช้การตั้งค่านโยบายกลุ่ม สคริปต์ PowerShell เป็นงานที่กำหนดเวลาไว้ ฉันยกเลิกตัวเลือก Powershell เพราะฉันไม่รู้วิธีกำหนดเป้าหมาย / ทำซ้ำอย่างมีประสิทธิภาพและยกเลิกเครื่องที่เปลี่ยนไปแล้วทุกเครื่องในเครือข่ายและผลกระทบใดที่จะมีต่อค่าใช้จ่ายเครือข่ายที่ไม่จำเป็นแม้ว่ามันอาจเป็นทางออกที่ดีที่สุด เนื่องจากรหัสผ่านสามารถจัดเก็บในคอนเทนเนอร์ CipherSafe.NET (โซลูชันของ บริษัท อื่น) และรหัสผ่านที่ส่งไปยังสคริปต์ไปยังเครื่องเป้าหมาย ฉันไม่ได้ตรวจสอบเพื่อดูว่า Powershell สามารถรับรหัสผ่านจากตัวจัดการข้อมูลประจำตัวของเครื่อง Windows ในพื้นที่ที่จะใช้ในสคริปต์หรือถ้าเป็นไปได้ในการจัดเก็บรหัสผ่านที่นั่นเพื่อใช้กับสคริปต์ด้วย ตัวเลือกสคริปต์. vbs ไม่ปลอดภัยเนื่องจากรหัสผ่านจะถูกเก็บไว้ในข้อความที่ชัดเจนในการแชร์ SYSVOL ซึ่งสามารถใช้ได้กับเครื่องโดเมนใด ๆ ในเครือข่าย ทุกคนที่กำลังมองหาประตูหลังบ้านและด้วย Google สักเล็กน้อยจะพบประตูนั้นถ้าถาวรมากพอ ตัวเลือก GPO ยังไม่ปลอดภัยตามที่ระบุไว้โดยหมายเหตุ MSDN นี้: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 ฉันกำลังค้นหาโซลูชันของบุคคลที่ไม่ใช่ซึ่งฉันคิดว่าควรจะมีให้หรือสามารถพัฒนาในบ้านโดยใช้ความรู้หรือคำแนะนำที่ถูกต้อง

13 active-directory  group-policy  scripting  powershell  password-management 

ฉันทำงานในองค์กรที่มีไซต์ทางกายภาพ 15 แห่ง สำนักงานใหญ่ของ บริษัท มี DC สองแห่งซึ่งมีบทบาท FSMO ทั้งหมดระหว่างพวกเขา ไซต์ระยะไกลแต่ละแห่งมี DC แห่งเดียว เมื่อฉันเริ่มทำงานที่นี่ไซต์โฆษณาไม่ได้รับการกำหนดค่า คำถามของฉันคือสิ่งที่ได้รับจากการกำหนดค่าหากเรามีลิงค์ WAN ความเร็วสูงระหว่างไซต์ทั้งหมด (มากกว่า 10 MB) ฉันทราบดีว่าความเร็วในการเข้าสู่ระบบอาจดีขึ้น แต่เมื่อลิงค์ WAN ไม่ทำงานลูกค้าควรจะสามารถค้นหา DC ภายในเครื่องได้ใช่ไหม?

13 active-directory 

ขออภัย - ฉันไม่ใช่ผู้ดูแลระบบ Windows จริงๆเพียงแค่พยายามผ่านการโต้ตอบ LDAP บางอย่างใน Java ฉันกำลังค้นหาวัตถุจำนวนมากด้วย "DEL:" ในชื่อจำเพาะ รายการเด็กกำพร้าเหล่านี้รอการรวบรวมขยะหรือไม่ ฉันจะลบออกได้อย่างไร ฉันไม่สามารถค้นหาพวกเขาผ่าน ADUC ได้ แต่ฉันสามารถค้นหาพวกมันผ่าน Java LDAP

13 windows-server-2008  active-directory  ldap  domain-controller