标签: active-directory

我为软件开发配置了一些 Vista x64 工作站，它们从未加入我们的 AD 域。用户在其本地未加入的用户配置文件中有许多自定义设置，他们希望在加入后保持这些设置。我该怎么做呢？他们的配置文件很大（在某些情况下不到 1GB）充满了源代码等。

我试图更好地了解 Active Directory 如何处理架构更新，特别是在考虑到 AD 的关键程度以及需要更新的情况范围内，该过程实际有多安全。例如，Exchange 2007、OCS、SCOM 都需要架构更改，这不仅仅是在您考虑从（例如）Windows 2003 到 Windows 2008 基础结构进行重大转变时发生的事情。

我正在寻找的是有关架构更改的最佳回退计划的建议，以防万一它确实出错了。例如，在更新期间让一个 DC 脱机并在架构更新失败时使用它来回滚整个环境是否可以接受？重新激活架构更新期间脱机的 DC 是否有任何问题？

我本质上是在 Active Directory 中的任何 OctetString 属性中存储一个私钥 (Hash)。

我的问题是，默认情况下什么属性是安全的，并且在那里保留私有数据是有意义的？这个值应该被认为类似于密码，即使是管理员也不应该有访问权限（如果可能），就像当前的 AD 密码一样。

下面是在 Windows 2008R2 + Exchange 2010 域上默认启用的属性列表的开始。

更新：

有谁知道默认情况下不会向域中的所有用户公开“读取”权限的八位字节字符串属性？我不想公开存储我的散列并允许某人基于散列构建彩虹表。

我有一个 Windows 服务帐户。我需要授予它在另一个受信任域上的组内模拟另一个帐户的权限，而无需委托。如此有效，我的服务帐户现在会说“哦，我是 Barnie@otherdomain.com”。我知道这是可能的，因为它是为另一个域设置的 - 但在我加入之前，我不知道他们是怎么做到的！

我是一名开发人员，但我所在的目录管理员似乎不知道该怎么做。任何帮助将不胜感激！

我们让 WSUS 将更新推送到我们用户的工作站，事情进展得相对顺利，但有一个恼人的警告：似乎有一个问题，一些用户面前会显示一个弹出窗口，通知他们他们的机器将在 15 后重新启动分钟，他们对此无话可说：

这可能是因为他们没有在前一天晚上退出。然而，这有点太多了，对我们的用户来说非常适得其反。

这里有一些关于我们的环境：我们的用户正在运行Windows XP Pro并且是Active Directory Domain. WSUS 正在通过Group Policy. 以下是执行 WSUS 规则的 GPO 的快照：

这是我希望 WSUS 工作的方式（理想情况下 - 我会采取任何可以让我接近的东西）：

我希望每晚自动下载和安装更新。如果用户未登录，我希望机器重新启动。如果用户已登录，我希望他们的机器不要重新启动，而是等到下一个“安装期”，在那里它可以执行任何其他需要的安装，然后重新启动（前提是用户帐户尚未登录）。如果要提示用户重新启动，则应该每天只出现一次（如果可能），但每次提示时，他们都必须有办法推迟重新启动。

我不希望用户在计算机认为应该发生时被迫重新启动他们的计算机（除非是在更新安装之后并且没有登录用户）。在一个人的工作日中强制重启系统似乎没有什么成效。 我可以用 GPO 做些什么来帮助减少 WSUS 的干扰？ 即使它为用户提供了稍后重新启动的选项 - 这也比现在发生的要好。

编辑

目标是能够每晚自动下载和安装更新，并且只有在机器想要重新启动时没有用户登录时才重新启动机器。如果 Windows 不得不唠叨用户重新启动，这完全没问题——只要他们可以选择推迟重新启动。

编辑

事实证明，我们对某些更新（SP3、客户端扩展等）设置了一些截止日期，通过下面的帖子，我们对这种情况有了一些了解：

http://forums.techarena.in/server-update-service/255722.htm

我正在使用 ADSI Edit 查看 AD 中单个用户帐户的 LDAP 属性。我看到了诸如 userPrincipalName 之类的属性，但我没有看到完全限定域名 (FQDN) 或 netbios 域名的属性。

我们将设置全局目录 (GC) 以提供对多个域的 LDAP 访问，并通过应用程序中的配置将 LDAP 属性映射到应用程序中的用户配置文件属性。对于典型的 AD，所有用户的 FQDN 和 netbios 域名都是相同的，但是由于涉及 GC，我们需要这些附加信息。我们真的只需要netbios域名（FQDN不够好）。

也许可以通过 LDAP 查询从 AD 中的更顶级对象请求此信息？

一个简单的现实问题，灵感来自这里的评论：

自 Windows 2000 中首次引入 Active Directory 以来，它支持使用 SMTP 而不是直接 RPC 的站点间复制。

但是真的有人用过吗？

如果是，为什么选择它？
设置和维护容易还是麻烦？
可靠吗？

我被宠坏了，并且一直在使用 eDirectory 完成我的大部分 LDAP 工作，它有一个名为 DSTrace 的实用程序，它很可爱，特别是对于 LDAP，将向您显示所有绑定尝试、源 IP、传入的搜索、摘要返回的匹配对象。

在调试 LDAP 应用程序（如SAP GRC）时，我可以通过观察应用程序所做的事情轻松找出应用程序做错了什么。

我知道安全事件日志会有一些这样的信息（至少绑定尝试）但必须有更好的方法吗？有没有这样的功能？

我看到一个问题调试 AD很接近，但只建议登录事件。我每天都需要更多的东西来管理 LDAP 应用程序。

我看过其他关于这样做的问题和文件，但有些事情仍然让我感到困惑。以下是我看到的文件和问题：

• 淘汰失效的 Windows 2003 域控制器
• 从 Petri 中获取FSMO 角色
• 使用 NTDSUtil.exe 将 FSMO 角色转移或获取到域控制器- Microsoft Knowledgebase
• Active Directory 域控制器上的 FSMO 放置和优化- Microsoft Knowledgebase
• 如何在域控制器降级失败后删除 Active Directory 中的数据

该环境包含两台 Windows 服务器和众多客户端。域控制器是运行 Windows 2000 Native AD 的 Windows 2003 SP2。另一台服务器（根本不是 DC）是 Windows 2000 SP4（它托管病毒检查实用程序）。

结果来自netdom query fsmo：

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

结果来自dcdiag：

Domain Controller Diagnosis

Performing initial setup: …

抱歉——我并不是真正的 Windows 系统管理员，只是试图通过 Java 中的一些 LDAP 交互进行猛烈抨击。

我在distinguishedName中找到了大量带有“DEL：”的对象。这些是等待垃圾收集的孤立项目吗？我如何删除它们？我真的无法通过 ADUC 找到它们，但我可以通过 Java LDAP 找到它们。