chinaitv的专栏

恢复win2008 AD中误删除对象的标准步骤1、restart the domain controller in directory services restore mode.2、restore last backup3、use ntdsutil.exe to mark deleted items as auhoritative.4、restart the domain con

默认情况下，windows允许任何通过身份验证的用户将10个计算机对象加入域。可通过下面的操作，关闭这一默认权限： -）”管理工具“--打开“ADSI Edit”工具；-）右键“ADSI Edit” -- “连接到”；-）“连接点”选项卡--“选择一个已知命名上下文”--“默认命名上下文”；-）“确定”-）展开“默认命名上下文”；-）右键“dc=domain，dc=

用户在断开网络的情况下，之前应用的组策略设置依然会继续生效。但这个规则包括一些列外，如果用没有联机，那么启动、登录、注销和关机脚本不会运行。

可以通过“组策略对象编辑器”设置本地GPO，可以分别针对四种不同的对象进行设置：本地计算机、管理员、非管理员、特定用户。这种本地GPO适用于非域、多用户环境。

在创建域时，会默认创建一个名为“Computers”的容器，该容器并不是组织单位OU，而是一种对象类的容器。不能在这个容器中创建OU，也不能将组策略对象（GPO）连接到这个容器。 不过可以通过下面的命令重定向计算机和用户加入域时的默认容器：-）redircmp "Clients" （Clinents 为承载计算机的OU的DN）-）redirusr “NewUsers” （New

组策略的“计算机配置”节点下的策略设置会在系统启动时和之后每90-120分钟应用一次。而"用户配置"节点下的策略设置会在用户登录时和之后每90-120分钟应用一次。

-）redircmp "Clients" （Clinents 为承载计算机的OU的DN）-）redirusr “NewUsers” （NewUsers 为承载用户的OU的DN）

这些具有“特殊身份”的成员是由操作系统控制的。在AD的管理单元中，即无法查看或修改，也不能将其加入其他组。这些特殊身份包括：-）Anonymous Logon ：           代表不提供用户名和密码的情况下创建的倒计算机及其资源的连接。该组从2003开始不再默认属于Everyone成员。-）Authenticated Users ：           代表已经通过

默认组是指AD中自动创建的组，通常这些组位于Builtin和User容器中。这些组不同于自定义组，都具有一些管理特权的受保护的组，意味着这些组的成员也会受到保护。而这种保护是系统定义，无法撤销。例如，一个用户账户User，它隶属于Domain Admins组，同时它也是Sales OU成员，这时对Sales OU所有用户执行重置密码操作，但User用户的密码不会被重置。

在AD中，最佳的实践是基于角色和管理规则的策略的管理。其中一种具有很高扩展性的策略——AGDLA其中：         A - 账户，它将隶属于“G”；         G - 全局组，用来描述业务角色，它将隶属于“DL”；         DL - 本地域组，用来描述管理规则，例如对特定的文件夹集合具有读取或写入权限，它将被添加到“A”；         A - ACL（访问

-）重装系统后无法通过域身份验证，即使计算机名相同。因为新安装的系统会生产新的SID。-）使用备份还原的系统无法通过身份验证。默认计算机会每30天更改一次密码，而AD会记录当前和上一个密码。也就是说，如果系统是从60天以前的备份中还原的，     那么计算机   就无法通过域身份验证。-）计算机的LSA密文（计算机会以本地安全机构 Local Security Authority 密文

以批量导入计算机对象为例。在Computer.csv文件中只有两列——ComputerTag 和 Type。#指定数据源$dataSoure = import-csv "Computers.csv"foreach($dataRecord in $dataSource){      $ComputerTag = $dataRecord.ComputerTag      $

-)用记事本新建文本文件并命名为“Userimport.ps1”-)$objOU=[ADSI] " LDAP://OU=User,DC=Domain,DC=com "  dataSource=import-csv "NewUsers.csv"  foreach($dataRecord in $ datasource)  {           $cn=dataRecord.

今天在微软的TechNet论坛上看到一位朋友提出了这样的问题——如何将2008R2的RD Web Access的访问方式从https改成http？      虽然觉得这个需求没什么必要，毕竟对于服务器的安全来说RD Web Access 的访问要求SSL加密更为妥当。但是我一向对新奇的想法没有什么抵抗力，所以就自己动手做了个试验。其实设置非常简单。 -）只要在IIS管理器中将 “Def

微软在将windows server操作系统更新到windows server 2008 R2后，该版本就不再提供对x86架构的支持了，只支持x64和Itanium 64位两种64位的架构。 windows server 2008 R2的版本细分包括：-）windows server 2008 R2 Standard（标准版）-）windows server 2008 R2 Ent

今天在自己的电脑上想做一个有关windows server backup的试验，结构发现一只“卡”在"正在读取数据,请稍后……"不能继续。后来做了很多检查诊断，诊断过程虑过，其实问题很简单——就是因为我安装了Symantec Endpoint Protection。将Symantec Endpoint Protection卸载或着将其服务停用后windows server backup恢复

计算机也有包含用户名和密码的账户，并且Windows会每30天更改一次密码。计算机账户也需要在域中进行身份验证，也可以隶属于组。和“人”一样，计算机账户也会忘记密码。