标签: active-directory

在使用我的域实验室之一时，我遇到了一个相当有趣的问题。

2008 R2 文件服务器上有一个目录，用于为“员工”OU 中的所有用户重定向文件夹。该目录具有以下权限集：

• FILESERVER\Administrators：允许完全控制目录、子目录和文件
• DOMAIN\Domain Admins：允许完全控制目录、子目录和文件
• Authenticated Users：仅允许创建文件、创建文件夹、写入属性、将扩展属性写入顶级目录

此外，该目录也是对Authenticated Users 组具有“允许完全控制”权限的网络共享。

当用户 john.doe（域管理员组的成员）尝试从文件服务器访问该目录时，他收到错误消息“您当前无权访问此文件夹”。尝试从同一服务器访问网络共享也会导致权限被拒绝错误（尽管用户仍然可以访问他自己在共享中的目录）。

从以同一用户身份登录的另一台计算机访问共享允许按配置进行访问。

您可以在登录到文件服务器时访问目录中的文件的唯一方法是打开提升的命令提示符。通过组策略为域中的所有计算机禁用 UAC（在启用管理员批准模式下运行所有​​管理员，并且默认行为设置为不提示提升）。

所有的道路都指向用户被允许访问，但它仍然被拒绝。有任何想法吗？

我想使用 bat 文件在我的所有客户端中配置 winrm。运行 bat filewinrm quickconfig命令后，会提示是/否答案。我不知道如何在批处理文件中回答“是”。

该文档包含示例：

New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true

此参数是必需的。a 的目的究竟是DNSHostName什么，我应该如何决定将它设置为什么？

我是 powershell 的新手，但我一直在阅读手册并进行了一些练习。我的目标是列出指定路径下所有安全组中的所有用户。我找到了这样做的方法：

 get-adgroup -Filter * -SearchBase "OU=Groups,DC=corp,DC=ourcompany,DC=Com"  | %{Get-ADGroupMember $_.name} | ft name

但问题是我没有看到组名。我得到的只是一堆用户。如果有人能告诉我如何在该组的所有成员被列出之前显示组名，那就太好了。谢谢。

设想

将其简化为最简单的示例：

我有一个带有 DHCP 服务器角色的 Windows 2008 R2 标准 DC​​。它通过各种 IPv4 范围分发 IP，没有问题。

我喜欢什么

我想要一种在设备获得 DHCP 地址租约并且该设备不是Active Directory 中加入域的计算机时创建通知/事件日志条目/类似的方法。是否是自定义Powershell等对我来说无关紧要。

底线 =我想要一种方法来知道非域设备何时在网络上而不使用 802.1X。 我知道这不会考虑静态 IP 设备。我确实有可以扫描网络并查找设备的监控软件，但它的细节并不是那么精细。

研究完成/考虑的选项

我没有看到内置日志记录的任何此类可能性。

是的，我知道 802.1X 并且有能力在这个位置长期实施它，但我们离这样的项目还有一段时间，虽然这可以解决网络身份验证问题，但这对我在外面仍然有帮助802.1X 目标。

我环顾四周寻找一些可能证明有用的脚本位等，但我发现的东西让我相信我的 google-fu 目前让我失望。

我相信下面的逻辑是合理的（假设没有一些现有的解决方案）：

1. 设备接收 DHCP 地址
2. 记录事件日志条目（DHCP 审核日志中的事件 ID 10 应该可以工作（因为我最感兴趣的是新租约，而不是续订）：http : //technet.microsoft.com/en-us/library /dd759178.aspx )
3. 在这一点上，某种脚本可能必须接管下面剩余的“步骤”。
4. 以某种方式查询这些事件 ID 10 的 DHCP 日志（我喜欢推送，但我猜拉是这里唯一的资源）
5. 解析被分配新租约的设备名称的查询
6. 向 AD 查询设备名称
7. 如果在 AD 中未找到，请发送通知电子邮件

如果有人对如何正确执行此操作有任何想法，我将不胜感激。我不是在寻找“gimme the codez”，但很想知道是否有上述列表的替代方案，或者如果我没有想清楚并且存在另一种收集这些信息的方法。如果您有想要共享的代码片段/PS 命令来帮助完成此任务，那就更好了。

我正在与一家教孩子们编程的初创公司合作。我们刚刚获得了我们的第一批笔记本电脑——六台运行 Windows 7 的翻新 thinkpad——我正在寻找管理和维护它们的最佳方式。

我已经确定购买批量许可密钥似乎是有意义的，因此我可以使用重新映像权限并生成一个已知的良好映像，我可以写入所有这些映像，并在需要时用于清除计算机. 我现在想知道的是如何最好地持续管理它们。

笔记本电脑将在各种网络上运行——它们都不受我们控制——而且我们没有中央办公室或服务器。我们宁愿不收购。

我希望能够轻松地将更新和新软件推送到所有笔记本电脑，以及远程配置管理员帐户和管理补丁以确保笔记本电脑保持最新状态。

作为一家小型初创公司，资金有限，而花在软件许可上的钱本可以花在更多硬件上，因此昂贵的解决方案有点不可行。

有没有人对我们如何最轻松地做到这一点有任何建议？

我们的 Microsoft SQL Servers 在 Windows Servers 上运行，它是 Active Directory 域的一部分。

为了方便用户的管理，我们的SQL授权使用Active Directory用户组在这个解释成立后。

现在只要每个人都在域内工作，就可以正常工作。人们使用他们的 AD 凭据登录到他们的计算机，并可以使用“Windows 身份验证”连接到 SQL 服务器。

问题是我们的用户还将在不属于 Active Directory 域的其他客户端计算机上工作（并且不能将它们添加到域中）。

我希望他们可以通过使用 SQL Server 登录屏幕中提到的 AD 身份验证，继续使用他们的 AD 凭据登录到服务器。

但是，这似乎不起作用。

使用 Active Directory 密码身份验证登录会出现证书问题。错误：“证书链由不受信任的机构颁发。”

Cannot connect to x.x.x.x.

===================================

A connection was successfully established with the server, but then an error occurred during the login process. (provider: SSL Provider, error: 0 - The certificate chain was issued by an authority that is not trusted.) (.Net SqlClient …

在安全性和可管理性方面 - 最佳实践是什么？

网络服务器应该

• 添加到 Active Directory 域并从其管理

或者

• 成为独立于“资源服务器”活动目录的“网络服务器”工作组的一部分？

不需要在 Web 服务器上有用户帐户，只有管理帐户（服务器管理、系统报告、内容部署等）

我有几个使用 Active Directory 进行身份验证的 Web 应用程序。我希望能够做的是提供一个简单的网页，允许用户更新他们的 AD 密码。

当大多数用户拥有连接到此 AD 服务器的 Windows 计算机（并且可以按 ctrl-alt-del 更改密码）时，这不是问题，但我们正在远离它，并且 AD 服务器主要用于 Web应用。

是否有一个简单的解决方案，或者我正在查看大型 LDAP 管理器？

有人知道清除 Server 2003 域上的 Active Directory 的任何有用工具吗？我想清理旧电脑等，更喜欢免费工具。

我有很多我知道不存在的设备，我想在建立新的 DC 之前清理它们。