标签: active-directory

当我整理一份关于开始 Windows 管理的演示文稿时，我被一个问题震惊了，我很惊讶我没有早点问过这个问题。

我知道：

• AD 逻辑上设置在站点中以帮助复制和减少客户端计算机和域服务之间的域必要通信的延迟。
• 站点由应用于它们的子网定义
• _msdcs 子域包含用于一般查找 (_tcp) 和特定站点查找 (_sites) 的 SRV 记录层次结构
• 计算机以某种方式知道它们所在的站点，或者域控制器在 DNS 的某种魔法中透明地决定......或者是吗？

这篇博文暗示 AD 网络中的客户端计算机可以“知道”它们是哪个站点的成员。我的问题是，如果是这种情况，他们是如何发现的？

如果客户端本身不知道，DC 如何帮助机器选择最接近该客户端计算机的 AD 服务？

希望我们都知道命名 Active Directory 林的建议是什么，而且它们非常简单。也就是说，可以用一句话概括。

使用现有注册域名的子域，并选择一个不会在外部使用的子域。 例如，如果我是纳入并注册hopelessn00b.com域名，我的内部AD林应该命名internal.hopelessn00b.com或ad.hopelessn00b.com或corp.hopelessn00b.com。

有使用压倒性令人信服的理由，以避免“假”顶级域名或单标签域名，但我有一个很难找到同样令人信服的理由，以避免使用根域（hopelessn00b.com）作为我的域名，使用子域名，例如corp.hopelessn00b.com代替. 真的，我似乎能找到的唯一理由是从内部访问外部网站需要 A nameDNS 记录并www.在浏览器中的网站名称前键入，就问题而言，这非常“meh”。

那么，我错过了什么？为什么使用ad.hopelessn00b.com作为我的 Active Directory 林名称要好得多hopelessn00b.com？

只是为了记录，确实需要说服我的雇主 - 老板人在兜售，在让我继续创建以corp.hopelessn00b'semployer.com我们内部网络命名的新 AD 林后，他想坚持使用名为hopelessn00b'semployer.com(与我们的外部注册域相同）。我希望我能得到一些令人信服的理由或理由，认为最佳做法是更好的选择，所以我可以说服他……因为这似乎比愤怒辞职和/或找新工作更容易，至少对于此时此刻。现在，“Microsoft 最佳实践”和在内部访问我们公司的公共网站似乎并没有削减它，我真的，真的，真的希望这里有人有更令人信服的东西。

对于（非常）小公司来说，将 Windows 服务器与AD 结合使用会显得过头了 - 为什么不将其用作文件/打印服务器、管理服务器，以便通过远程桌面访问网络上的所有机器以进行管理？也用于保存网络上所有 PC 的磁盘映像...

这家小公司有三个主要的办公室员工，一些文员（十几个），周围散落着十几台电脑。三名主要员工经营业务，可以使用具有授权（只读等）的良好共享归档系统。第二层可能有四名员工，他们使用几个 Web 服务并在 Web 上做一些研究。其余的仅使用特定网站（访问受K9限制）。

一些应用程序运行在专用的 Windows XP 机器上，该机器运行一个应用程序（一次一个客户端）来控制安全（门等）

它们现在在一个简单的工作组和一个用作婴儿文件服务器的 Windows 7 工作站上工作得相当好。

我在高等教育领域做了很多工作，在特定课程或活动期间重新配置许多 Windows 域成员（例如教室中的 PC）并在之后撤消此配置是一个相当普遍的要求。

由于我们被要求进行的大多数配置更改都可以通过组策略对象完成，并且当 GPO 在 OU 级别取消链接或停用时，这些更改会自动撤消，因此这是一条非常舒适的路线。

唯一的缺点是重复手动链接和取消链接 OU 上的 GPO 需要在课程开始前和结束后进行大量提醒和值班的 IT 人员——这是运营团队无法始终保证的。

有没有办法为特定 GPO 的有效性指定时间范围？

我的新雇主为其数百名用户设置了文件夹重定向，而设置它的人并不真正知道他在做什么。因此，没有遵循重定向文件夹/主目录权限的最佳实践。

让人们访问其重定向文件夹位置的解决方案是将Full Control权限（NTFS 权限，当然不是“共享”权限）应用到Everyone根目录（“Home”）并将其向下传播到根目录下的所有子文件夹和文件.

什么可能出错，对吧？这不像 CEO 在他的My Documents文件夹中有机密信息，或者任何人都会感染 CryptoWall 并加密其他人的文件。对？

所以，无论如何，既然 CryptoWall 感染已被删除并已恢复备份，许多人希望我们用不那么可怕的东西替换当前的权限，我希望不必在几个权限对话框中单击一百个文件夹。

PowerShell 如何为我解决这个问题，让生活重新变得有价值？

我有一个 .net Web 应用程序，它需要获取用户在 Active Directory 中所属的组。

为此，我在用户记录上使用 memberOf 属性。

我需要知道在所有用户记录上读取此属性所需的权限。

目前，我在尝试读取此属性时得到不一致的结果。例如，我在同一 OU 路径中有一个由 30 个用户组成的用户组。使用我自己的凭据查询 AD - 我可以读取某些用户的 memberOf 属性，但不能读取其他用户的属性。我知道所有用户都设置了 memberOf 属性，因为我在使用域管理员帐户登录时进行了检查。

当我激活Advanced features( View-> Advanced Features) 并通过导航到用户的 OU 并右键单击用户对象来打开用户的属性时，我会看到该Attribute Editor选项卡。

但是，如果我搜索用户（右键单击域 -> Find-> 搜索用户），然后双击该用户，则看不到该选项卡。

我通常无法导航到用户，因为某些 OU 的用户过多。有人可以建议允许我查看Attribute Editor选项卡的替代方法吗？

在 Active Directory 环境中的 Windows XP 上 - 我从 AD 查询用户电子邮件地址的最简单方法是在命令行上给出用户名。

（假设我知道它通常保存在树中的位置）。

（我知道 net user loginname /domain 但我只想要电子邮件地址元素。）

我不断地设置需要活动目录帐户的研究和开发环境。由于我们将这些环境放置在孤立的网络中，因此每个环境都需要自己的活动目录。如何使用 powershell 创建新的活动目录帐户。

假设域中至少存在两个域控制器，那么在域控制器崩溃后需要采取哪些步骤来使 Active Directory 正常运行？