Active Directory 域服务 (ADDS) 管理疑难解答


摘要


本文引入了管理添加对象和他们的解决方法时,可能会遇到的几个问题。

此问题如果不注销用户可能导致,然后重新打开,或不重新启动计算机来获取组成员身份的新标记。

解决方案


若要解决此问题,注销该用户帐户,然后登录。对于计算机帐户,请重新启动计算机

问题解决了吗?


如果 AD 复制延迟导致组成员资格不 symphonized 到每个 DC,则可能导致此问题。

解决方案


检查是否存在任何错误。您可以运行repadmin /ShowATTR命令到不同 DC 来查找复制错误。作为示例,请参阅下面的输出。

对完全 DC contoso 运行repadmin /ShowATTR命令-dc01.contoso.com:

对完全 DC contoso 运行repadmin /ShowATTR命令-dc01.contoso.com:

以后的结果中,可以找到缺少的MemberOF属性。

可以由以下原因之一导致此问题:

  1. 用户帐户是一个 OU 中的权限未继承到的位置。
  2. 用户帐户没有配置使其不包含委派的权限的继承。

解决方案


重新启用继承传播所需的对象的权限,如果可以这样做。

问题解决了吗?


可以由以下原因之一导致此问题:

  1. 因 AD 复制出现问题。
  2. 复制故障导致无法复制到域控制器尝试重置时的 DACL。

解决防止复制属性的所有 AD 复制问题

示例


不复制到辅助域控制器权限的示例

下面是输出的repadmin /showobjmeta * DN_OF_OBJECT命令。

这将显示 ntSecurityDescriptor 属性在 Contoso DC01 修改,但还没有复制到环境中的第二个域控制器。针对第二个域控制器执行操作时,操作将失败。

针对完全 DC contoso dc01.contoso.com 28 项运行repadmin命令。

运行完全 DC 057a0713-fa86-41f2-8d 75 repadmin命令-f6d68ecf3968._msdcs.contoso.com:

以下是repadmin /showreps命令显示失败的示例

注意此故障是由于自身作为传入复制被禁用的。

CMD

可以由以下原因之一而导致此问题:

  1. 用户帐户不是分配执行的操作的权限的组的成员或他们有没有登录回后帐户添加到安全组。
  2. 显式或隐式拒绝的权限包括分期付款问题

解决方案


添加的用户尝试将密码更改为正确的安全组。在此之后,注销和登录时需要获取新的令牌与新组。

问题解决了吗?


可以由以下原因之一导致此问题:

  1. 自动化的"清理"不具有当前的lastLogonTime特性的旧帐户或密码,在很长时间没有被更改过的脚本。
  2. 应用程序进行更改以"匹配"它所认为的正确值。
  3. 任何其他管理员不知情的情况下对其进行更改的管理员

解决方案


这一解决将取决于谁和什么该帐户进行了更改。此范围是从纠正错误的应用程序了解什么的值应当是要关闭脚本。您需要跟踪使用repadmin命令和审核事件的套件来查找对帐户进行修订的用户进行更改的 DC。

祝,解决了该问题。

很抱歉,问题依然存在。我们将非常感谢如果您填写您的问题的详细信息与调查。