Exchange 管理工具输出它们将(或刚刚)执行的确切 PS 命令。是否存在具有类似功能的不同版本的 AD 工具(主要是 AD 用户和计算机)?如果不是,这是 Windows 8 Server 的预期功能吗?
powershell windows-server-2008 active-directory windows-server-2008-r2 windows-server-2012
我有一个网络共享文件夹,我最近正在清理它的权限。我从文件夹的访问权限中删除了四个个人名称,并添加了一个新的安全组(通用),该安全组具有对该文件夹的标准读/写权限,然后将这 4 个人添加到该组中。
但是......现在没有人可以看到该文件夹。用户可以看到该共享驱动器中的其他 9 个文件夹,但缺少第 10 个文件夹。我在父文件夹或文件夹本身中看不到任何安全权限,这会导致任何人都看不到它,无论他们是否有权打开它或编辑其中的文件。
编辑:文件服务器(与 Exchange 和 DC 不同)是 Server 2008。为之前的错误信息道歉,我之前并没有直接远程访问文件服务器。但是,对于有问题的共享,基于访问的枚举被禁用。
编辑 2:如下面的评论中所述,ABE 已启用。令人困惑的是,有人使用嵌套共享为站点设置了共享区域...\server\share\shareA\folders。虽然 'share' 没有启用 ABE,但 'shareA' 启用了。我缺乏对配置的深入了解,延迟了对问题的准确诊断。
windows-server-2008 network-share access-control-list file-permissions
我有一个 AD: 驱动器,它应该允许我从 Powershell 中浏览活动目录。但是当我尝试使用它时,它不会让我超越根目录。从我读到的给定命令应该可以工作,但它们失败了。
PS AD:\> ls
Name ObjectClass DistinguishedName
---- ----------- -----------------
company domainDNS DC=company,DC=com
Configuration configuration CN=Configuration,DC=company,DC=com
Schema dMD CN=Schema,CN=Configuration,DC=company,DC=com
ForestDnsZones domainDNS DC=ForestDnsZones,DC=company,DC=com
DomainDnsZones domainDNS DC=DomainDnsZones,DC=company,DC=com
PS AD:\> cd schema
Set-Location : Cannot find path 'AD:\schema' because it does not exist.
At line:1 char:3
+ cd <<<< schema
+ CategoryInfo : ObjectNotFound: (AD:\schema:String) [Set-Location], ItemNotFoundException
+ FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.SetLocationCommand
PS AD:\> cd Schema
Set-Location : Cannot find path 'AD:\Schema' because it does not exist.
(duplicate of previous …我最近对我们的网络驱动器权限做了很多更新……例如将直接用户权限合并到组权限中。内置的 ACL 编辑器(高级安全设置对话框)就足够了,但它的局限性令人沮丧,尤其是它不能调整大小,并且您无法在添加新条目的同时查看现有条目列表。
是否有改进的 ACL 编辑器可以下载以补充默认的编辑器?
windows-server-2003 windows-server-2008 access-control-list file-permissions
有一个奇怪且令人困惑的问题(对我和用户而言)困扰着身份验证。我不知道它发生了多久,但我相信它会持续很长时间。直到最近,通过使用帐户锁定工具,我才意识到这些身份验证问题有时是由系统故障而不是用户错误引起的。
发生的情况是用户正确地进行了身份验证,但系统拒绝了他们的密码。我想重复一遍:他们使用正确的用户名、密码和域登录。这不是胖手指;这不是客户问题;这不是用户错误;它不是过期的密码;它不特定于任何服务。
用户正确验证时的行为是 DC 将“登录失败”计数重置为 0。当他们失败时,它会增加它并设置“上次失败”时间。但是当这个故障发生时,两者都不会发生;认证尝试被拒绝,但计数不会增加 1,也不会重置,并且最后一次失败时间不会改变。
该问题发生在多个设备和服务中。今天我有一个学生无法登录多台计算机,以及网络邮件。我比较了来自计算机和 DC 的事件日志;我认为用户被错误拒绝(并且失败计数没有上升)和她被正确拒绝时的事件之间没有区别,因为我故意让她输错了密码。
我自己已经这样做了,尝试登录到学生新创建的帐户(使用已知的密码方案)。许多通过 AD 进行身份验证的服务的用户都遇到过这种情况。它已经发生在教职员工、教职员工和学生身上。据我所知,这是直接在 DC 上的身份验证问题;该帐户有些奇怪,但不是密码过期、禁用等的典型罪魁祸首之一。
重置密码可以解决问题。问题就迎刃而解了。但是这个问题的频率(就在本周大约有 8-10 个案例,最多 100 次网络密码重置)让我相信这是一个严重的问题。
我不知道这个问题发生了多久。如果不使用帐户锁定工具,我将永远不会看到错误计数无法增加,因此假设用户知道密码是错误的。我曾多次发生用户发誓他们知道他们的登录名的情况,并且它“昨天有效”。我不知道有多少次是真的,如果有的话。即使在获得该工具之后,在我相信这是一个真正的问题之前,它已经发生了多次并且出现了几个月的问题。直到我真的遇到这种情况,输入学生的初始密码,看到失败次数没有上升,我才真的相信。
我们的AD环境大多是Windows server 2008,有的DC还是Server 2003,环境是单域。如果有任何其他故障排除所需的相关技术细节,请告诉我。
编辑:正如接受的答案所示,这确实是用户错误。向我“证明”这是一个真正问题的事件是,当我登录到一个新创建的帐户时,它在没有增加错误密码计数的情况下失败了。我们有新帐户和密码重置标准。可能另一个管理员忽略了标准并将此用户的密码重置为其他内容。当我尝试登录新用户时,错误密码未能增加(但我被拒绝了),我认为这是一个问题的证明。许多谷歌搜索未能找到描述错误密码计数无法上升的情况的页面......希望这个答案将来能帮助其他人。
在脚本中,我需要管理组的成员资格。不幸的是,用于从组中删除成员的 cmdletRemove-ADGroupMember总是要求确认。这与所描述的 cmdlet 行为相矛盾,因为有一个-Confirm选项应该打开确认。这需要使用模糊且记录不充分的冒号将值绑定到 switch 参数: -Confirm:$false,此时使用简单的-Forceswitch会更有意义。
环境中是否存在更改 cmdlet 行为方式的设置?这只是一个实现不佳的功能吗?我是否遗漏了一些可以解释开关参数令人困惑的行为的明显文档?
我想通过安全组间接管理我的通讯组列表。这样当我将用户添加到相应的安全组时,他们将自动成为相应通讯组的成员。
Distribution Group Everyone (everyone@example.com)
Security Group A
User 1 (user1@example.com)
User 2 (user2@example.com)
Security Group B
User 3 (user3@example.com)
User 4 (user4@example.com)
安全组未启用(我希望它们保持未启用)邮件。这是一个可行的设置吗?我需要做一些特别的事情才能完成这项工作吗?从表面上看,它似乎失败了,所以我怀疑我必须启用安全组邮件,但让我感到沮丧的是没有更好的解决方案。
问题是我不希望用户养成直接向安全组发送电子邮件的习惯,如果我启用它们,则扩展通讯组将导致他们看到子组,并可能使用它们而不是通讯组列表. 与未发布的 API 类似,让这些信息可见可能会在未来某个时候再次困扰我。
我似乎找不到从 Powershell 运行各种 Exchange 任务(建立电子邮件地址、删除 Exchange 属性、创建邮箱等)的方法。在我看来,Exchange 任务不可能自动化;有人有一个起点让我自动执行重复的 Exchange 任务吗?
PowerShell 将是首选语言,但如果没有办法只能通过 .NET 或类似的方式,我可以走那条路。