Active Directory活动目录

添加AD域用户安全日志审核。在AD内添加用户是否会有日志记录，从哪可以查询。
回答：根据您的描述，我对这个问题的理解是: 您想知道, 添加新用户的时候,是否有日志记录新用户 的创建.
根据我的研究, 在默认的设置下，创建新用户时不会有日志记录。我们可以设置如下审核来记录新用户的创建:
计算机设置\Windows 设置\安全设置\本地策略\审核策略
启用”审核帐户管理“
当新的用户创建之后，您会在安全日志中看到事件624
......更多内容请看 活动目录SEO博客 http://gnaw0725.blogbus.com/

如何批量解锁域帐户？域功能级别为2000模式,操作系统为Windows 2003, 设定了帐户锁定策略。发现域里的某些机器中了病毒后不断的扫描域帐户密码，导致很多的帐户被锁定了。我设定的解锁时间为30分钟，但在30分钟之前，锁定的用户无法登录域使用域内的资源。现在我想问：如何可以查找到所有被锁定的帐户并快速的解除所有锁定的帐户？

回答：根据您的描述，我对这个问题的理解是：您想要查找所有被锁定的用户帐户并且解除锁定。请根据以下步骤来解决这个问题。
......更多内容请看 活动目录SEO博客 http://gnaw0725.blogbus.com/

AD RID角色主机。请教关于RID数量的问题。我在域控制器上运行dcdiag 关于RID信息如下：开始测试: RidManager
    * Available RID Pool for the Domain is 1600 to 1073741823
    * DC-2008.liming.com is the RID Master
    * DsBind with RID Master was successful
    * rIDAllocationPool is 1100 to 1599
    * rIDPreviousAllocationPool is 1100 to 1599
    * rIDNextRID: 1115
这一段Available RID Pool for the Domain is 1600 to 1073741823是不是说域控制器RID号最多只能涨到107374182，如果用完了这段号怎么处理呢？
......更多内容请看 活动目录SEO博客 http://gnaw0725.blogbus.com/

如何清除AD中已经不存在的计算机对象？windows 2003单域架构，域内用户有1000左右，因为客户端没有命名规则，客户端又经常重新安装系统，更改计算机名；  现在AD 计算机对象中有4000多个，无法判断哪些是实际在使用的域内计算机；能否有什么工具进行清除长期没有登录的计算机对象？

回答：根据您的描述，我对这个问题的理解是：您想知道如何清除域内长期没有登录的计算机对象。
您可以使用一个叫oldcmp的工具，它能够根据你设置的条件过滤用户帐户或者计算机账户，然后你可以设置如何处置这些过期账户，是删除、移动、还是锁定。
......更多内容请看 活动目录SEO博客 http://gnaw0725.blogbus.com/

dns辅助区域。在建立域信任关系前建立两个域DNS相互解析，在A域新建辅助区域B域时出现错误，提示不是有DNS服务加载的区域，错误事件号dns 6525

回答：根据您的描述，我对这个问题的理解是：您在A,B 两个域之间建立信任关系,但是无法在A域建立B域的DNS辅助区域。根据我的研究，A域建立B域的DNS辅助区域，您需要建立如下的信任关系：
1．在B域上，打开Active Directory站点与服务。
2．右击服务器名，打开属性。
3．在Trust标签上，选择“新信任”，单击下一步。
......更多内容请看 活动目录SEO博客 http://gnaw0725.blogbus.com/

限制远程登录用户使用软件。客户的需求是希望某一账户通过远程登录的方式，登录到某一服务器上，但登录后只可以打开此服务器的IE进行操作，其它应用程序均不可以看到并且访问，不知这种方式如果在域环境中是否可以通过组策略的配置来实现，如果可以请教具体应该如何实现，另外，如果是在工作的组的环境中，是否有方法可以实现？

回答：根据您的描述，我对这个问题的理解是：您想知道如何通过组策略来限制登陆的用户只能使用IE。
根据我的经验，如果是在域环境下，我们可以利用组策略的Administrative Templates
做到将桌面、开始菜单或者是网络设置等内容进行限制，您可以在以下位置找到这些具体的策略：
......更多内容请看 活动目录SEO博客 http://gnaw0725.blogbus.com/

Windows Server 2008 RODC密码复制策略－强制预设密码。一台2008 DC和2008 RODC，在RODC 上添加Branch Office 组、Domain Computers允许密码复制，U1 已经属于Branch Office 组，在强制预设密码时报错“U1  必须先将该帐户添加到此只读域控制器的已允许列表中”，Domain Computer已经成功加入了。
已经确认该用户对应的组已经添加到允许复制列表，手动复制也完成，相互访问共享也没有问题。请问如何排错？

回答：根据您的描述，我对这个问题的理解是：在一个部署了RODC的环境中，用户U1在强制预设密码时出现”必须先将该帐户添加到此只读域控制器的已允许列表中”的报错信息。该用户加入了Branch Office组，且该组和Domain Computers组已配置为允许密码复制。您所描述的步骤应该是正确的。如果要预缓存密码，在安装好RODC以后只需要以下设置：
......更多内容请看 活动目录SEO博客 http://gnaw0725.blogbus.com/

如何扩展活动目录架构，扩展AD域用户对象属性？客户想在AD中增加一项字段，以用来记录员工的ID号，基本上这是一个活动目录开发的问题。有两种情况，意思在界面上添加一个属性，另一种是利用功能菜单的方法实现。
如果要在界面上添加一个属性，需要开发一个DLL来修改界面，请参考：

Active Directory Users and Computers Property Sheets
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ad/ad/active_directory_users_and_computers_property_sheets.asp
Property Pages for Use with Display Specifiers
......更多内容请看 活动目录SEO博客 http://gnaw0725.blogbus.com/