タグ付けされた質問 「active-directory」

この投稿を改善したいですか？引用や回答が正しい理由の説明など、この質問に対する詳細な回答を提供します。十分な詳細のない回答は、編集または削除できます。 私はこれに対する答えを知っていて、以下の1つを提供したことに注意してください。私の答えの内容を理解していない新しいシステム管理者がたくさんいるので、初心者のAD DNSの質問はすべてこれと重複して閉じられることを望みます。少し改善された場合は、お気軽に回答を編集してください。より包括的な完全な回答を提供できる場合は、お気軽にお答えください。 DNSはActive Directoryとどのように関連していますか、また、一般的な構成に注意する必要があるものは何ですか？

23 domain-name-system  active-directory 

Active Directoryのどこかに、「[コンピュータ]から最後にログオンした」が書き込まれる/保存される、または解析できるログがあることを望んでいますか？ 最後にログオンしたPCを知りたいのは、ネットワーク経由でリモートサポートを提供するためです-ユーザーはほとんど移動しませんが、私が相談しているのはその朝（ログインしたとき）に更新されていることを知りたいです、おそらく）少なくとも。 また、参照可能な既知の場所にユーザー名とコンピューター名を書き込むログインスクリプトも検討していますが、一部のユーザーは一度に15日間ログアウトすることを好みません。 ログインスクリプトを使用するエレガントなソリューションがある場合は、必ずそれを言及します-しかし、それがたまたまステーションのロックを解除するために動作する場合、それはさらに良いでしょう！

23 active-directory  remote-access  user-management  security  logon-scripts 

DNSの問題が繰り返し発生しており、ユーザーが時々ラップトップを使用してすべてのDNSクエリの最後に会社のドメインを追加するという問題を抱えています。この問題は、ユーザーがオフサイトにいて、かなりランダムに見える場合にのみ発生します。いつかは動作しますが、無効になったエントリは青色で表示されます。これは主にWindows XPユーザーに影響を及ぼしますが、最近Vistaでも見られます。nslookupを使用した例を次に示します。 C:\Users\Username>nslookup www.yahoo.com Server: Linksys Address: 192.168.0.1 Non-authoritative answer: Name: www.yahoo.com.EXAMPLE.COM Address: 192.0.2.99 報告されたIPアドレスをプレースホルダーに置き換えましたが、返されるのは*.ネットワークソリューション構成のデフォルトエントリであることがわかります。明らかにwww.yahoo.com.EXAMPLE.COM存在しないため、これは理にかなっています。ユーザーの内部機器が適切に機能していると思います。内部的には、WindowsベースのDHCPおよびDNSサーバーを備えたWindows 2k3 Active Directoryを実行しています。最終的に、問題は通常、数時間または数回の再起動で解決します。 誰もこの行動を見たことがありますか？

23 windows  networking  domain-name-system  active-directory 

私の新しい雇用主は、数百人のユーザー向けにフォルダリダイレクトをセットアップしていますが、セットアップした人は彼が何をしていたのか本当に知りませんでした。その結果、リダイレクトされたフォルダー/ホームディレクトリのアクセス許可のベストプラクティスは順守されませんでした。 リダイレクトされたフォルダーの場所にアクセスできるようにするためのソリューションは、代わりにルートディレクトリ（「ホーム」）にFull Controlアクセス許可（「共有」アクセス許可ではなく、NTFSアクセス許可）を適用Everyoneし、それをルートの下のすべてのサブフォルダーとファイルに伝達することでした。 何が間違っているのでしょうか？CEOが自分のMy Documentsフォルダーに機密情報を持っている、または誰もがCryptoWallに感染して他のすべてのユーザーのファイルを暗号化するというわけではありません。右？ とにかく、CryptoWall感染が削除され、バックアップが復元されたので、多くの人々は現在のアクセス許可をより恐ろしいものに置き換えてほしいと思っています。 100個のフォルダー。 PowerShellを使用してこの問題を解決し、生活をやりがいのあるものにする方法を教えてください。

22 windows  active-directory  powershell  folder-redirection  home-directory 

私は高等教育で多くの仕事をしており、特定のコースやイベントの期間中に多数のWindowsドメインメンバー（教室内のPCなど）を再構成し、その後この構成を取り消すことがかなり一般的な要件です。 ほとんどの構成変更はグループポリシーオブジェクトを通じて行うことができ、GPOがOUレベルでリンク解除または非アクティブ化されると、これらの変更は自動的に元に戻ります。これは非常に快適な方法です。 唯一の欠点は、OUでGPOを手動でリンクおよびリンク解除を繰り返すと、コースの開始前と終了後、多くのリマインダーとITスタッフが必要になることです。運用チームは常に保証できません。 特定のGPOの有効期間を指定する方法はありますか？

22 active-directory  group-policy 

IISでIISにサイトをセットアップし、特定のADグループのユーザーにのみアクセスを許可することは可能ですか？

22 active-directory  iis-7  permissions 

（非常に）小さな企業にとって、ADでWindowsサーバーを使用するのはやり過ぎです-ファイル/プリントサーバー、管理目的でリモートデスクトップ経由でネットワーク上のすべてのマシンにアクセスする管理サーバーとして使用するだけではどうですか？ネットワーク上のすべてのPCのディスクイメージを保存するためにも... この小さな会社には3人のメインオフィスの従業員と、数十人の事務職員（数十人）と、数十台のコンピューターが散らばっています。3人のメインスタッフがビジネスを運営し、承認された適切な共有ファイリングシステムを使用できます（読み取り専用など）。多分4人のスタッフからなる第2層があり、彼らは2、3のWebサービスを使用し、Webで調査を行います。残りは特定のWebサイトのみを使用しています（K9でアクセスが制限されています）。 一部のアプリケーションは、セキュリティ（ドアなど）を制御するためにアプリケーション（一度に1つのクライアント）を実行する専用のWindows XPマシンで実行されます シンプルなワークグループと、ベビーファイルサーバーとして機能する1台のWindows 7ワークステーションで、今ではかなりうまく機能しています。

22 windows-server-2008  active-directory 

Windowsの管理を開始するためのプレゼンテーションをまとめていたとき、私はすぐに質問しなかったことに驚いていることに感銘を受けました。 そんなこと知ってる： ADは、複製を支援し、クライアントコンピューターとドメインサービス間のドメインに必要な通信の待ち時間を短縮するために、サイトに論理的にセットアップされます。 サイトは、それらに適用されるサブネットによって定義されます _msdcsサブドメインには、一般的なルックアップ（_tcp）およびサイト固有のルックアップ（_sites）用のSRVレコードの階層が含まれています コンピュータはどういうわけか自分がどのサイトにいるかを知っていますか、またはドメインコントローラーがDNSの魔法で透過的に決定します...またはそれを行いますか？ このブログ投稿は、ADネットワーク内のクライアントコンピューターが、どのサイトのメンバーであるかを「知る」ことができることを示唆しています。私の質問は、もしそうなら、彼らはどうやってそれを見つけるのですか？ クライアント自体が知らない場合、DCはそのクライアントコンピューターに最も近いADサービスを選択するプロセスでマシンをどのように支援しますか？

21 windows  active-directory 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 閉じた3年前。 Server 2003 R2ドメインコントローラーの再パーティション分割中に、Active Directoryデータベースフォルダー（D:\AD\Data）を保持していたパーティションを誤って削除しました。D:\と共有ディスク上のパーティションでしたC:\。 D:\Active Directoryデータフォルダーが格納されていることに気づかずにドライブを削除しました。他のドメインコントローラーも、このActive Directoryデータのバックアップもありません。 ADを復元する可能性はありますか？

20 active-directory  windows-server-2003-r2 

PowerShell v2.0を使用してWindows 7ワークステーションで作業してLostAndFoundおり、Active Directoryのごみ箱が有効になっている2008 R2 FLフォレストおよびドメインのコンテナーから特定の（孤立した？）オブジェクトを削除しようとしています。何でも。 重要なのは、このオブジェクトとこのオブジェクトのみを削除する必要があることです（IsDeletedプロパティを持つすべてのオブジェクトを削除するのではなく、ヘルプを見つけることができるようです）。 壊れた信頼関係を解決するために、コンピュータをドメインから解いたので、私は（おそらくオブジェクトがごみ箱に移動させ、その後に、それを削除する必要があるLostAndFoundコンテナ）、そして我々はそれを与えるしたいのですが元の名前（PCの管理タグ番号に基づいています）。コンピューターを正しい名前でドメインに再結合しようとすると、次のエラーメッセージ（The specified account does not exist）で失敗しました すでにドメインにある名前を正しい名前に変更しようとすると、次のエラーメッセージが表示されて失敗します（The account already exists） そのため、実際のP​​Cは現在間違った名前でそこに座っているので、修正する必要があります。 ただし、このADオブジェクトを削除しようとすると、エラーが発生しますThe specified account does not exist。オブジェクトの識別名には\（バックスラッシュ）文字が含まれていますが、これはLostAndFoundコンテナ内にあるためと思われますが、それが問題なのかどうかと、それを修正する方法について疑問に思っています。私はシェルを実行していますが、グループが問題のオブジェクトの完全な制御と所有権を持っているdomain adminことを確認しましたが、domain adminsこれを理解できないようです。 問題のオブジェクト（やや編集済み）： Get-ADObject "CN=SomeComputer\0ADEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv" -IncludeDeletedObjects -Properties * accountExpires : 9223372036854775807 CanonicalName : MyEmployer.prv/LostAndFound/SomeComputer DEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6 CN : SomeComputer DEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6 codePage : 0 countryCode : 0 Created …

20 windows  active-directory  powershell 

Advanced features（View-> Advanced Features）をアクティブにし、OUに移動してユーザーオブジェクトを右クリックしてユーザーのプロパティを開くと、Attribute Editorタブが表示されます。 ただし、ユーザーを検索し（ドメインを右クリック-> Find->ユーザーを検索）、ユーザーをダブルクリックすると、タブは表示されません。 一部のOUにはユーザーが多すぎるため、通常ユーザーに移動できません。誰かが私にAttribute Editorタブを表示できる代替案を提案できますか？

20 windows-server-2008  active-directory  windows 

最初にドメインに少なくとも2つのドメインコントローラーが存在すると仮定した場合、ドメインコントローラーがクラッシュした後にActive Directoryを正常にするには、どのような手順を実行する必要がありますか？

20 active-directory  domain-controller 

ユーザーがインターネットへの接続に問題があり、一部のサイトは機能し、一部のサイトは機能しませんでした。 ネットワーク機器とは何の関係もないと思うが、念のため。 2ファイアウォール、Palo-Alto 4 Cisco Nexus 55XXTスイッチ 先週から約10日前からネットワークを変更することはなく、すべて正常に実行されました。 私が際立っているのは、問題のマシンの1つにpingを実行すると、マシンが実際に持っているものとは異なるIPに解決されることだけです 最終日の1時間に2回のIP競合に関する複数のネットワークアラームが発生しています。 これは2人のユーザーにのみ影響していました 問題があるPCの1つから： C:\>ipconfig | find "IPv4" IPv4 Address. . . . . . . . . . . : 12.43.168.248 C:\>hostname hostname-18 別のマシンからのping。 C:\>ping hostname-18 Pinging hostname-18.domain.com [12.43.168.105] with 32 bytes 別のマシンからのNslookup。 C:\>nslookup 12.43.168.105 Server: ad-server.domain.com Address: 12.43.168.83 Name: hostname-18.domain.com …

19 active-directory  internal-dns  nslookup 

ユーザーがActive Directoryのメンバーであるグループを取得する必要がある.net Webアプリケーションがあります。 これを行うには、ユーザーレコードのmemberOf属性を使用します。 すべてのユーザーレコードでこの属性を読み取るために必要な権限を知る必要があります。 現在、この属性を読み取ろうとすると、一貫性のない結果が得られます。たとえば、同じOUパスに30ユーザーのユーザーグループがあります。自分の資格情報を使用してADを照会する-一部のユーザーのmemberOf属性を読み取ることはできますが、他のユーザーの読み取りはできません。ドメイン管理者アカウントでログオンしたときにチェックしたため、すべてのユーザーにmemberOf属性が設定されていることがわかります。

19 active-directory  ldap 

組織をMercurialに移行する可能性を評価していますが、適切な指針が見つからない2つの基本的な要件につまずいています。 中央のActive Directoryでユーザーを認証し、正しい資格情報がある場合にのみプッシュまたはプルできるように、Mercurialの中央リポジトリを設定するにはどうすればよいですか？ 特定のグループに属するユーザーのみがソースコードをプッシュ/プルできるようにMercurialプロジェクトリポジトリを設定するにはどうすればよいですか？これは、プロジェクトごとの承認を得るために必要です。 上記の2つの要件は、どのHTTPサーバー（IISまたはApacheなど）でサポートされていますか？ 明らかな質問をしている場合、または認証と承認がどのように機能するかについて基本的なことを見逃している場合はおApび申し上げます。

19 active-directory  authentication  ldap  mercurial