organizational-unit
无法找到 OU 上的委派的“读取锁定时间”和“写入锁定时间”
尝试将权限委托给 OU 上的组;但在“用户对象”的特殊权限中找不到 2 个属性,它们是“读取锁定时间”和“写入锁定时间”,我看不到它们,有什么原因吗?我在 Windows 7 计算机上使用 ADUC 工具,该计算机的域由 Windows 2003 R2 和 Windows 2008 R2 域控制器组成,我是域管理员。 ...
organizational-unit
organizational-unit
在 LDAP 中,最好将组嵌套在组织单位下,还是直接在根 DN 下为组创建一个组织单位?
我不确定是将组嵌套在每个组织单位下更好,还是直接在根 DN 下为组创建一个组织单位更好。哪种做法更佳?我希望尽可能保持配置的原始性,以最大程度地兼容 LDAP 感知应用程序。 我的迫切需要包括: 使用 Atlassian Crowd 进行 SSO Google Apps 目录同步(LDAP 组 -> 邮件列表) 用于 Windows 身份验证的 pGina 下面的图表显示了我正在考虑的两种策略: ...
organizational-unit
我可以在活动目录中移动这些项目吗
我正在重新组织我公司的活动目录结构,因为它没有跟上公司结构的变化。 有几件物品我不确定是否可以移动。有人能告诉我是否可以移动以下物品吗: Exchange Security Groups OU (Exchange 2010) Exchange 2010 DiscoverySearchMailbox user account Exchange 2010 SystemMailbox (x2) user account Builtin groups found in the Builtin container All builtin accounts/grou...
organizational-unit
GPO 不适用于 OU
我们有一个批处理文件(登录程序) 在用户登录时映射驱动器。 该脚本由组策略应用于整个域。 最初,这非常完美,因为我们一直希望应用此脚本。但是,现在我们在远程站点的 PC 通过 VPN 链接访问域。由于驱动器映射脚本和较慢的 VPN 链接的结合,这些 PC 可能需要长达 5 分钟才能登录。我尝试从“默认域策略”GPO 中删除“logon.bat”,远程站点的用户可以快几分钟登录。这非常完美 - 我可以手动映射远程站点上的驱动器,供少数需要网络访问的用户使用。 然后我尝试创建两个 OU:“总部“(我们希望继续使用驱动器映射脚本)和”场外“(对于远程站点以及...
organizational-unit
添加到特定 OU 的用户是否可以自动成为特定组的成员
Windows Server 2008 R2。 是否可以设置 AD 以便将添加到特定 OU 的任何用户自动分配到特定用户组? ...
organizational-unit
域管理员的远程组策略更新失败(拒绝访问)
这是我在 ServerFault 中的第一个问题,嘿呀 :) 在我们的域中使用 Microsoft Active Directory 管理所有服务器和客户端计算机。我们有 13 台虚拟机服务器。域\管理员用户是域管理员。我在域中随处使用它(IIS Web 服务、远程登录、任务计划、Veeam 备份等),没有任何权限问题。 今天我配置了一个策略直流并将其分配给服务器 OU其中包含所有服务器。然后尝试右键单击此欧亚, 选择组策略更新。9 项失败,4 项成功。我附上了结果。 4 成功服务器 1 Windows Server 2012 R2 2 Windows Se...
organizational-unit
Active Directory:查明修改对象时拒绝访问的原因
我需要一种通用方法来确定在 AD 中修改/移动/等对象时导致访问被拒绝错误的原因。我知道我可以查看“有效权限”,但不确定哪个权限对应于哪个实际操作。 例如某个OU中的计算机对象具有删除有效权限,但我无法将其移动到新创建的OU。 ...
organizational-unit
将 GPO 链接到 OU 或安全组,谁会获胜?
场景如下:GPO 链接到 OU 以启用 UAC 设置等。但是,由于某些系统需要禁用 UAC,因此有一个 GPO 可以禁用这些设置。此 GPO 链接到安全组。这些系统是特定安全组的成员,并且仍将放置在具有 UAC“已启用”设置 GPO 的 OU 中。 那么哪个 GPO 是赢家? 根据我的测试,链接到安全组之前的 OU 的 GPO 总是获胜。 这个问题有解决办法吗? ...
organizational-unit
两天的艰苦奋斗……如何删除 Google Cloud Organization?我正在设置 Gmail 以发送 WordPress 电子邮件
如何删除 google cloud 组织? 来自法国尼斯的问候, 我有一个问题,迫不及待地想知道解决方案是什么......我正在设置 Gmail 来发送 WordPress 电子邮件。我很快乐的你(我的优秀读者)也许能够帮助我。 这是一件大事。大约 5 个月前,我使用我的网络域名创建了一个 Google Cloud Identity 组织帐户(第一次使用 Google Cloud)。在此期间,我将我的组织名称从 macventure.ca 更改为macventure.agency。因此,我想删除链接到我的 google cloud 身份的 *macventu...
organizational-unit
Windows Server 2016 Active Directory:仅向特定计算机的用户授予管理员权限
我已将本地管理员权限授予请求/需要此访问权限的活动目录用户的多台计算机。我不想将管理员权限授予整个域和服务器,而是只授予特定终端。 我在网上找到了一篇关于使用组策略管理和组策略管理编辑器授予特定机器本地管理员权限的帖子。(见下文) https://support.dincloud.com/portal/en/kb/articles/how-to-make-a-domain-user-the-local-administrator-for-all-pcs 我创建了一个 OU(即包含域中的所有计算机),并在其中包含我想要授予此用户管理员访问权限的计算机。 我应用...
organizational-unit
Active Directory 导出/导入 - 用户、组、OU
我有一个2012 R2 域控制器并需要将所有用户、组和 OU 迁移到新的域控制器。这个新的 DC 处于完全不同的领域。我已将用户、组和 OU 导出至使用各种 LDIFDE 命令的 ldf 文件。 查看 ldf 文件时我注意到所有 AD OU 和组导出的内容包括我的团队创建的和默认的,例如:域控制器 OU、用户 OU、域管理员组、企业管理员组等。 以下是在新的 DC 上执行导入时我的问题/担忧: 由于很多这些组和 OU 是域控制器的默认设置导入会失败吗,因为 OU/组已经存在, 将要产生重复或将导入 LDIFDE 命令忽略重复项然后转到文件中的下一个数据位?...
organizational-unit
使用 powershell 向 Active Directory 组织单位添加审计规则
在下面的 powershell 脚本中,我正在为特定 OU 收集 Active Directory 审计规则,检查是否存在任何针对失败的审计规则,如果不存在,则添加失败审计规则。在添加失败规则的最后一步之前,一切正常。没有错误消息,但新规则未出现在 Active Directory 中。 #find the needed OU Import-Module activedirectory Set-Location ad: dir #get an acl object based for the OU $acl = Get-Acl -Path "DC=some...
organizational-unit
使用 powershell 获取和添加活动目录域 OU 审计规则
我想使用 powershell 来编写脚本来显示和编辑 Active Directory 对象的审计规则,而不是通过 GUI 进行操作,如下所述:从 Active Directory 用户和计算机中,在“查看”菜单中启用“高级功能”,在左窗格中选择“域控制器 OU”右键单击“域控制器 OU”对象并选择“属性”,选择“安全”选项卡,选择“高级”按钮,然后选择“审计”选项卡 这是我目前所拥有的。首先获取 OU 的 distinguishedName: import activedirectory set-location ad: dir 将上面 dir 输出中...
organizational-unit
如何删除 AWS 中的临时用户帐户?
我已经创建了一个脚本来在 AWS Organizations 下创建用户账户。 现在,我想在 30 分钟内自动删除临时用户帐户? 有哪些可能的解决方案?我可以处理 RESTAPI、Lambda、CloudFormation。 有手动流程,但我尝试为用户提供 30 分钟的试用权限 ...
organizational-unit
Windows OU 管理能力受限
我们的组织最近对安全措施进行了更改,我有一个要求,想知道是否可以实现。 因此,我们的团队(假设 Jim、Tim、Johnny、Sonny 和 Mary)正在为客户(1、2、3、4、5、6、7)管理域。我们现在的做法是,在该 OU 下创建用户并创建安全组,并让用户通过安全组访问相应的客户环境。类似这样的 随着更多客户(8、9、10)的加入,我们将创建此类安全组并添加所需的用户。我希望只有 Jim 和 Tim 可以管理客户 3 和客户 4 安全组 (SG),以便在这些 SG 中添加和删除用户,同时保留修改客户 1、2、5、6、7 以及创建/修改客户 8、9...